
大手セキュリティ企業の統計によると、改ざんされたPDFファイルを利用した攻撃が脅威リストのトップに躍り出ています。シマンテックの報告によると、2009年には疑わしいPDFファイルが急増し、同社が検知したWebベースの攻撃の49%を占めました。これは2008年のわずか11%から大幅に増加しています。次に多かったのは、Internet Explorerの脆弱性を利用した攻撃で、18%と大きく差をつけられています。
典型的なシナリオでは、サイバー犯罪者は正規のサイトを乗っ取り、Adobe Readerの脆弱性を悪用するために作成されたPDFファイルを挿入します。そして、スパムやブログ、ソーシャルネットワークへのコメントといったソーシャルエンジニアリングのルアーを介して、そのPDFファイルへのリンクを貼ります。リンクを確認する賢明なユーザーでさえ、正規のドメインであることがわかります。サイトがハッキングされたことを知らないため、ファイルをダウンロードして開く可能性が高くなります。
現在、PDFファイル内に隠されたマルウェアを起動させる新たな脅威が発見されています。研究者のディディエ・スティーブンス氏によって発見されたこのタイプの攻撃では、PDFファイルを開くとマルウェアのインストールが試行されます。この操作によりAdobe Readerが確認ポップアップを表示し、「開かない」ボタンをクリックして攻撃を中止する機会が与えられます。しかし、スティーブンス氏は、攻撃者がポップアップのメッセージを改変できることを発見しました。例えば、「このPDF文書内の暗号化されたメッセージを表示するには、「今後このメッセージを表示しない」を選択し、「開く」ボタンをクリックしてください!」といったメッセージが表示されています。このようなメッセージを使用することで、攻撃者は潜在的な被害者の疑念を払拭できる可能性があります。
肝心なのは、この埋め込みファイルの脅威がPDF標準に組み込まれた機能を巧みに利用していることです。そのため、Adobe Readerだけでなく、他のPDFリーダーでも、たとえ最新バージョンであっても動作します。Zeusトロイの木馬の開発者は、すでにこの新しい手法を使って悪質なソフトウェアを拡散させています。
新たな脅威と戦う方法
Adobe Readerの現在のバージョンでプログラム設定を変更すると改善する場合があります。「環境設定」→「信頼性管理マネージャー」を開き、「PDF以外の添付ファイルを外部アプリケーションで開くことを許可する」のチェックを外してください。詳しくはAdobe Readerブログをご覧ください。
https://www.pcworld.com/downloads/file/fid,62648/description.html の最新の 3.3 アップデートには、新しい Safe Reading 設定も追加されています。これは、設定の新しい Trust Manager セクションでデフォルトで有効になっており、同様に埋め込みプログラムの実行をブロックします。
従来のPDFエクスプロイトは、ほとんどの場合、Adobe Readerの多数の脆弱性を突くため、代替のPDFプログラムを使用することをお勧めします。しかし、安全性を保証するものではありません。埋め込みファイル攻撃が最初に発生した際、Foxitは確認ポップアップすら表示せず、攻撃をそのまま許可しました。どのリーダーを使用する場合でも、常に最新の状態に保つことが重要です。AdobeとFoxitは、埋め込みファイルのリスクをさらに軽減するための新しいセキュリティ機能の開発に取り組んでいます。
最後に、優れたウイルス対策プログラムは、悪意のあるPDFファイルが攻撃を開始する前にブロックしてくれる可能性があります。また、VirusTotal.comは、ダウンロードしたファイルやメールで送信したファイルを、多数のウイルス対策エンジンでスキャンするのに優れています。いずれにせよ、常に自分自身の良識で防御を強化してください。