覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステック)
CSV→Excel起動する関係で外部ファイル参照設定がされていると任意のコマンドが実行される仕様を悪用されたものが出てるんですよ・・・
だが、拡張子がtxtなどのテキストファイルとは大きく異なる点がある。初期設定(デフォルト)でExcelと関連付けられている点である。Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられる。つまり、CSVファイルをダブルクリックするなどして開こうとするとExcelが起動され、そのCSVファイルの内容を読み込まれる。
覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステック)
CSVファイルに書かれている内容が単なるテキストなら、それを表示するだけなので害はない。だが、関数などが記述されていると、Excelはそれを読み込んで解釈し、その内容に従って動作する。コマンド(プログラム)を実行する関数を記述することもできる。
このため、Excelがインストールされている環境で細工が施されたCSVファイルを開くと、攻撃者が意図したコマンドを実行させられる恐れがある。
任意のコマンドを実行させられるので、ローカル(CSVファイルを開いたパソコン)にあるプログラムはもちろん、インターネット上のサーバーに置いたウイルスをダウンロードさせて実行させるといったことも可能になる。そのようなコマンドが書かれたCSVファイルが、危険なCSVファイルの正体である。