アドビ、PDFを使う攻撃を調査中--「Adobe Reader」「Acrobat」「Flash Player」に影響

　研究者らは米国時間7月22日、不正なPDFファイルがFlashの脆弱性を利用し、コンピュータ上にトロイの木馬を侵入させる攻撃が出回っていると警告を発した。

　Flashは、すべての主要なブラウザで動き、PDFに組み込むことが可能なうえ、ほとんどOSに依存しない。そのため、この状況は、膨大な数のユーザーに影響を与える恐れがある。

　Symantecによると、Flashを使用するすべてのソフトウェアがこの攻撃の影響を受ける可能性があるという。ウェブセキュリティサービスプロバイダであるPurewireの主席研究者Paul Royal氏は、Flashインタプリタが脆弱性を抱えるため、「Adobe Reader」も影響を受けると述べた。

　Adobeのウェブサイトには、「Adobe Readerや『Acrobat 9.1.2』『Adobe Flash Player 9』『Adobe Flash Player 10』に 潜在的な脆弱性が存在するという報告を認識している。問題については現在調査中であり、さらなる情報を入手次第、最新情報を提供する予定である」と掲示されている。

　Patrick Fitzgerald氏はSymantec Securityブログへの投稿において、「このエクスプロイトの作成者は、ヒープスプレー技法を用いて、バグを悪用し、これをエクスプロイトへと変換している」と記している。

　同氏は、「攻撃者は通常、ユーザーを悪質なウェブサイトを訪問するように導くか、または、電子メールで悪質なPDFを送信する」と記している。「これを疑わないユーザーがそのウェブサイトを訪問したり、PDFファイルを開いたりすると、このエクスプロイトはさらなるマルウェアをそのユーザーのマシンに侵入させる。悪質なPDFファイルはTrojan.Pidief.G、またこれによって侵入したファイルはトロイの木馬として検出される」（Patrick Fitzgerald氏）

　このエクスプロイトは約2週間前に最初に開発されたようだと、Royal氏は述べた。脆弱性自体は2008年12月頃から存在していた。

　この脆弱性は「Windows XP」および「Windows Vista」で悪用可能だが、「Windows Vista」のユーザーは、「User Account Control（UAC）」を有効にすることで問題を回避できると、Symantecは述べた。

　US-CERTは、同社ウェブサイトで以下のような回避方法に関する情報を提供している。

• 「ProgramFiles\Adobe\Reader 9.0\Reader\authplay.dll」および「ProgramFiles\Adobe\Reader 9.0\Reader\rt3d.dll」というファイルの名前を変更することにより、Windowsプラットフォーム上で、Adobe Reader 9のFlashを無効にする。
• Flash Playerを無効にするか、「Securing Your Web Browser（ウェブブラウザを保護する方法）」ドキュメントに記載されているように、Flash PlayerやFlashコンテンツの一部のみを有効にする。