PR

 「標的型攻撃が主流に」と言われるようになってから,随分時間が経ったように思う。それでも,いまだに決め手となる解決策が浮かび上がってこない。その一方で,日本でも被害はじわじわと広がっているようだ。

 中でも最近話題なのが,PDFファイルを悪用した攻撃である。攻撃手法としては決して新しいものではない。ただ,PDFドキュメントにはいくつかのセキュリティ上の問題があり,攻撃パターンが何通りもあるため注目されている。

 PDFドキュメントが悪用されてしまう要因は,主に次の3点が挙げられる。
(1)PDFファイルは自由度の高い仕様となっている
(2)コード内の不正個所を特定することが難しい
(3)ビジネス文書として一般的

 一見するとバイナリ・ファイルのように見えるPDFドキュメントは,テキスト・エディタでも内容を閲覧できる。その内容は図1のように「ヘッダー」,「オブジェクト」,「クロスリファレンス」,「トレーラ」で構成されている。

図1●PDFファイルのフォーマット
図1●PDFファイルのフォーマット
[画像のクリックで拡大表示]

 このうち何かと問題になるのが「オブジェクト」である。この部分にコンテンツやアクションの設定が記載されるからだ。

古い攻撃だが防げない

 本コラム(2007年11月15日号)でも紹介したが,PDFウイルスの多くは,Acrobat JavaScriptを利用する。昨年話題になったTrojan.Pidief.Aは,Acrobat JavaScriptとAcrobatのぜい弱性を悪用した典型的なPDFウイルスだった。このPDFウイルスは,データが暗号化されていないため内容を確認しやすい。手を加えたサンプルを紹介しよう(図2)。

図2●PDFウイルス「Trojan.Pidief.A」の中身
図2●PDFウイルス「Trojan.Pidief.A」の中身
[画像のクリックで拡大表示]

 図2を見ると,オブジェクト領域に/windows/system32/cmd“.exe”という文字列がある。cmd.exeを利用し,外部から不正プログラムをダウンロードさせようとしている。ためしに,このPDFドキュメントをVirusTotalでチェックしてみた。VirusTotalは多数のウイルス対策エンジンでファイルのウイルス・チェックを実行し,検出率を測る無料サービスである。結果は25/32(78.13%)で,多くのウイルス対策ソフトで検出できた。

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
日経電子版セット今なら2カ月無料