logo

PDFを使った新たなマルウェア拡散手法--研究家、概念実証プログラムを作成

文:Elinor Mills(CNET News) 翻訳校正:編集部2010年04月06日 13時13分
  • このエントリーをはてなブックマークに追加

 ポータブルドキュメントフォーマット(PDF)ファイルを使って、「Adobe Acrobat Reader」および「Foxit Reader」PDFソフトウェアを実行しているターゲットコンピュータ上のクリーンなPDFファイルをマルウェアに感染させることができる。あるセキュリティ研究家が米国時間4月5日に警告した。

 NitroSecurityのプロダクトマネージャーであるJeremy Conway氏は、攻撃の概念実証プログラムを作成した。この攻撃では、累積アップデートの一部として、悪意のあるコードをコンピュータ上のファイルに注入する。それを使えば、コンピュータ上のあらゆるPDFファイル、または全てのPDFファイルに悪意のあるコードを注入することが可能だ。

 攻撃が成功するためには、ターゲットコンピュータのユーザーがダイアログボックスを通して、そのコードの実行を許可する必要がある。しかし、攻撃者は最低でも、ユーザーに実行ファイルを開くよう促すために表示されるダイアログボックスの内容を部分的に制御できるため、ソーシャルエンジニアリングを使って、コンピュータユーザーにマルウェアを実行するようそそのかすことが可能だ、とConway氏は述べた。

 JavaScriptを無効にしても、この攻撃を防ぐことはできない。攻撃者はPDFリーダー自体の脆弱性を突く必要もない。

 PDFリーダーの累積アップデート機能は「感染ベクターとして利用することが可能だ」とConway氏は述べた。この攻撃は「脆弱性を突くのではない。攻撃を成功させるのに、ゼロデイ(エクスプロイト)は必要ない」(Conway氏)

 Conway氏の概念実証攻撃(ここで詳しく説明されている。ここにはより詳細な情報が掲載されている)は、ベルギーのセキュリティ研究家Didier Stevens氏が1週間前に発見し、自身のブログで解説したPDFリーダーの脆弱性と同じものを利用している。

 Stevens氏はマルチパートのスクリプティングプロセスを用いてコマンドを入力し、PDFファイル内で実行ファイルを開くことに成功した。CNETの姉妹サイトであるZDNetによれば、Stevens氏の研究結果とブログ投稿を受けて、AdobeとFoxit Softwareの研究者は、そうした攻撃からのリスクを軽減する方法を調査中だという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。 原文へ

-PR-企画特集