Adobeは、自社製品をクロスプラットフォームかつOSに依存しないコンテンツ配信ツールとして確立することに大きな成功を収めてきました。しかし残念ながら、こうした特性はAdobe製品を攻撃する魅力的な理由にもなっており、Adobeはこれらの製品のセキュリティ確保において、それほど成功していません。IT管理者は、Adobeソフトウェアの欠陥や悪意のあるPDFファイルから保護するために、より一層の注意を払う必要があります。
スティーブ・ジョブズが、iPhoneやiPadでAdobe Flashをサポートしない、あるいはそもそも許可しないというAppleの決定を擁護する理由の一つに、セキュリティ上の懸念を挙げました。Adobe FlashとAdobe Readerはプラットフォームを問わずほぼ普遍的に普及しており、Adobeは攻撃対象として狙われやすい立場にあります。セキュリティベンダーは既に、Adobeがセキュリティチェーンにおける脆弱なリンクであると警告しています。
今年初め、攻撃者はAdobe Readerの脆弱性を悪用し、今夏開催されるFIFAワールドカップ2010サッカーイベントを題材にした悪質なPDFファイルを再生しました。これらのメッセージは、アフリカの正規の観光団体から送信されたように偽装されており、大部分は正当な詳細情報に加え、Adobe Readerの脆弱性を悪用して脆弱なシステムに悪質なソフトウェアをインストールするPDFファイルが添付されていました。
現在、Adobeの新たなセキュリティ上の欠陥が悪用されています。Adobe製品セキュリティインシデント対応チーム(PSIRT)のブログによると、「この脆弱性によりクラッシュが発生し、攻撃者が影響を受けるシステムを制御できるようになる可能性があります。この脆弱性は、Adobe Flash Player、Adobe Reader、Acrobatの両方に対して実際に悪用されているという報告があります。」
Adobeの脆弱性は、大規模なマルウェア攻撃やフィッシング攻撃の基盤として利用される可能性がある一方で、標的型攻撃において特に強力な武器となります。悪意のあるPDFファイル(特に正規のPDFファイルに悪意のあるコンテンツを追加するように改変したもの)を作成し、特定の価値を持つ限定されたターゲットに送信すると、セキュリティベンダーの監視をすり抜け、従来の「絨毯爆撃」アプローチよりもはるかに高い成功率を達成できます。
IT管理者は、これらの攻撃から身を守るために、積極的な対策を講じる必要があります。もちろん、従来のベストプラクティス、つまりマルウェア対策ソフトウェアを有効化して最新の状態に保ち、パーソナルファイアウォールを使用してエンドポイントシステムを保護することも重要です。しかし、マルウェア対策業界はシグネチャベースのリアクティブモデルに基づいているため、これらの対策ではゼロデイ脅威や新たな脅威に対する防御には限界があります。
PDFファイルの閲覧に代替アプリケーションを導入することも有効です。NuanceとFoxitはどちらも、Adobe Readerの代わりに使用できる無料のPDFリーダーアプリケーションを提供しています。Nuanceは、PDF内で悪意のあるコードを実行するための一般的な手段であるJavaScriptを、セキュリティ強化のためPDFリーダーアプリケーションでデフォルトで無効にすることを規定しています。Foxit Readerでは、URL接続とJavaScript機能の許可または拒否が可能です。
残念ながら、Adobe Flash Playerの脆弱性に対する保護策は限られています。AppleとAdobeの間で繰り広げられている文化戦争からもわかるように、Webの多くはコンテンツ配信にFlashに依存しており、Adobe Readerとは異なり、Flashコンテンツを表示したり操作したりするための代替手段は実質的に存在しません。
長期的な解決策の一つは、FlashからHTML5への移行です。HTML5は、現在Flashで提供されているのと基本的に同じ種類の動画やインタラクティブコンテンツを配信するための、よりオープンで標準ベースのアプローチです。ご興味のある方は、AppleがHTML5の機能を紹介する専用サイトを公開しています。ただし、閲覧できるのはAppleのSafariウェブブラウザのみです。
Adobeは自らの成功の犠牲者です。攻撃者がAdobe製品をこれほど積極的に標的にしていることは、私たちがAdobe製品にどれほど依存しているかを物語っています。IT管理者はAdobeソフトウェアに関連するセキュリティ問題を認識し、それらから保護するためのセキュリティ対策を講じるか、より安全な代替手段を見つける必要があります。
TonyのFacebookページをフォローするか、 [email protected]までメールで連絡を取ることができます 。また、 @Tony_BradleyPCWとしてもツイートしています。
Twitter で Tech Audit をフォローしてください。
