PR
「PDFウイルス」を添付したメールの例(トレンドマイクロの情報から引用)
「PDFウイルス」を添付したメールの例(トレンドマイクロの情報から引用)
[画像のクリックで拡大表示]

 トレンドマイクロは2007年10月27日、米アドビシステムズの「Adobe Reader」や「Acrobat」の脆弱(ぜいじゃく)性を悪用するウイルス(PDFファイル)が日本国内でも確認されたとして注意を呼びかけた。脆弱性を解消していないパソコンでは、メールに添付されたPDFファイルを開くだけで被害に遭う。

 悪用される脆弱性は、Adobe Reader 8.1およびそれ以前、Adobe Acrobat Standard/Professional/Elements 8.1およびそれ以前、「Adobe Acrobat 3D」に存在する。これらのいずれかに加えて、Internet Explorer 7(IE7)をインストールしているWindows XPパソコンが影響を受ける。

 今回の脆弱性は、2007年10月初めごろにセキュリティベンダーなどにより公表された。同時に、脆弱性を突いて「CALC.EXE(電卓)」を実行する無害のプログラム(検証プログラム)も公開されていた。

 このためアドビシステムズでは、10月22日に脆弱性を修正するアップデートプログラム(修正パッチ)を公開。このプログラムを適用して、ReaderやAcrobatをバージョン8.1.1にアップグレードすれば、脆弱性は解消される。

 アップデートプログラムが公開された翌日の10月23日には、脆弱性を悪用するウイルス(PDFファイル)が実際に出現。脆弱性の影響を受ける環境でこのファイルを開くと、中に仕込まれたプログラムが動き出し、特定のWebサイトから別のウイルスをダウンロードして実行する。

 この時点では、国内のユーザーに対して「PDFウイルス」が送られてきたという報告はなかった。しかし今回、トレンドマイクロでは国内ユーザーにも送付されていたことを確認した。

 同社が確認したPDFウイルスは、10月23日以降に出回っているウイルスと仕組みは同じ。ただし、PDFウイルスを添付したメールの件名や、PDFウイルスのファイル名が異なる。10月23日に確認されたPDFウイルス添付メールの件名は、「invoice(請求書)」「bill(請求書)」などを含んでいたのに対して、今回確認されているメールの件名は、以下の通り。

  • Balance Report
  • Credit report
  • Personal Balance Report
  • Personal Credit report
  • Personal Financial Statement
  • tax statement
  • Your Credit points
  • Your Credit report
  • Your Credit File

 PDFウイルスのファイル名も異なる。10月23日時点で確認されたファイル名は「INVOICE.pdf」「YOUR_BILL.pdf」「BILL.pdf」「STATEMET.pdf」などだったが、今回は以下のようなファイル名が付けられているという。

  • debt.[ 年].[ 月].[ 日].[ 時間].pdf
  • overdraft.[ 年].[ 月].[ 日].[ 時間].pdf
  • report.pdf
  • report.[ 年].[ 月].[ 日].[ 時間].pdf

 上記の[ 年]、[ 月]、[ 日]、[ 時間]の部分には、「overdraft.2007.10.26.3122149.pdf」のように、送信日時と思われる半角数字が入力されている。

 また、PDFウイルスが別のウイルスをダウンロードするためにアクセスするサイトも、前回と今回とでは異なる。

 メールの本文例は「Please read the attached file.」。メールの件名や本文、ファイル名はいずれも英語。同社では、2007年10月27日午前7時時点、日本語で書かれたPDFウイルス添付メールは未確認。

 トレンドマイクロでは、PDFウイルスの被害に遭わないために、アドビシステムズが提供するアップデートプログラムの適用を推奨。加えて、「出所不明のメールを開かない」「不審なPDFファイルを開かない」「ウイルス対策ソフトを最新の状態にする」――ことを勧めている。