PR

 セキュリティ組織の米サンズ・インスティチュートは2010年1月4日、「ADOBE READER」および「ACROBAT」の新しい脆弱(ぜいじゃく)性を突く悪質なPDFファイル(PDFウイルス)が出回っているとして注意を呼びかけた。ファイルを開くだけで、パソコンを乗っ取られる恐れがある。2009年12月末時点では、ウイルス対策ソフト(セキュリティ対策ソフト)の多くが未対応だったという。

 ADOBE READERとACROBATには、細工が施されたPDFファイルを開くだけで、中に仕込まれたウイルスなどを勝手に実行される脆弱性が見つかっている。最新版でも未修正。脆弱性の概要や回避策は2009年12月15日に公開されたものの、アップデート(修正版や修正パッチ)は未公開。米アドビシステムズは、2010年1月13日にアップデートを公開するとしている。

 サンズやセキュリティ企業各社によれば、この脆弱性を悪用する攻撃やPDFファイルが広く出回っているという。今回、サンズが警告したのは「Requset.pdf」という名前のPDFファイル(図1)。ファイルを開くと、脆弱性を突いて内部のプログラムが勝手に動き出し、2種類の実行形式ファイルを生成して実行する。

 実行形式ファイルの一つは、「SUCHOST.EXE」というプログラム。このプログラムはパソコンに常駐し、あるコンピューター(サーバー)にインターネット経由で接続。攻撃者からの命令を待ち受け、その命令に従ってパソコンを操作する。つまり、攻撃者にパソコンを乗っ取られることになる。ただし、サンズのスタッフが確認した時点では、接続先のコンピューターは稼働していなかったという。

 もう一つは「temp.exe」。このプログラムは、ダミーのPDFファイル「baby.pdf」を生成し、ADOBE READERなどに読み込ませる。baby.pdfは、Excelで作成された表が貼られている無害のファイル。PDFウイルス(Requset.pdf)を開いても何も表示されないため、ユーザーが不審に思う可能性がある。そのユーザーの目をごまかすのが、baby.pdfの目的だという。

 サンズは、40種類の対策ソフトによりウイルスチェックできるWebサイト「VirusTotal(ウイルストータル)」を使って、今回のPDFウイルスを検査した。その結果、2009年12月31日時点で検出できた対策ソフトはわずか6種類だったという(図2)。

 今後は、より悪質なPDFウイルスが出現する危険性があるとして警告。サンズは、アップデートを適用するまでは、設定変更による回避策の実施を強く推奨している。具体的には、JavaScriptの設定を無効にする。

 無効にするには、ADOBE READERやACROBATのメニューバーから「編集」→「環境設定」を選択。メニュー左側の「分類」で「JavaScript」を選び、右側の「JavaScript」項目中の「Acrobat JavaScriptを使用」のチェックを外した後、「OK」ボタンを押す(初期設定では「Acrobat JavaScriptを使用」がチェックされている)。