最近,米アドビ・システムズ製「Adobe Reader」の重大なセキュリティ・ホールを突いたウイルスやマルウエアが仕込まれたPDFファイルがはやり出しています。ある企業のシステム管理者との会話でも,このPDFファイルが話題になったのですが,その際にビックリする事実が明らかになりました。そこで今回は,最新版「IEを使い続けるための“お勧め”設定」を紹介するという予定を変更し,PDFウイルスの話題を取り上げることにします。
はやり出しているPDFウイルスは,「Adobe Reader 8.1.1」以前のバージョンに存在するセキュリティ・ホールを突くもので,2月以降,国内外で多発しています。2月上旬に公開された最新版の「Adobe Reader 8.1.2」では,使い勝手の改善に加え,これらのセキュリティ・ホールが修正されています(関連記事)。
この8.1.2にバージョンアップすれば,最近流行しているPDFウイルスの被害を受けずに済みます。Adobe Reader 8で8.1.1以前のバージョンを使用している場合は,Adobe Updaterの環境設定がデフォルトの状態のままであれば,自動的に新しいアップデートが確認され,必要であればバージョンアップを促す“通知メッセージ”が自動で表示されます。
 写真1 Adobe Reader 8 Adobe Updater画面 [画像のクリックで拡大表示] |
■参考記事:Adobe Readerの新しい脆弱性を突くウイルス,対策ソフトは検出せず[2008/02/12]
■参考記事:「もはやPDFは安全なファイル種類ではない」,新たなPDFウイルス出現[2008/03/25]
■参考記事:IPAを装ったメールが出回る,PDFファイルに注意[2008/04/16]
■参考記事:「PDFウイルス」を使った標的型攻撃が急増,古いAdobe Readerを狙う[2008/04/25]
Adobe Reader 7以前のバージョンに要注意
話をしたシステム管理者の方は,こうしたセキュリティに関する情報を継続的にウォッチしている方で,情報漏えいにつながる可能性のあるウイルスやマルウエアが仕込まれたPDFファイルの存在も把握していました。そこで「それでは,Adobe Readerは最新版にバージョンアップしたのですよね」と確認したところ,「当然,チェック済みです」との答え。抜かりない対応だと感心したのですが,話はこう続きました。「でも,バージョンアップは必要ない状況でした。Adobe Readerの新機能は気になるので,いつかはバージョンアップをしたいんですけどね」。どうも話がかみ合わないため,詳しく話を聞いてみると,なんと以下のような状況でした。
この企業では,実はAdobe Reader 7シリーズの最終版である「Adobe Reader 7.0.9」を導入していたのです。「Adobe Reader 7.0.9」が導入された状態でAdobe Readerを起動し,「ヘルプ」メニューの中の「アップデートの有無を今すぐチェック」を選択します。数秒後,Adobe Readerの状況を示す「アップデート」が表示されます。このため,バージョンアップは必要ないと判断したわけです。
確かに「Adobe Reader 7.0.9」の場合,4月末時点においても,「現在のアップデート」の欄に重要なアップデートやセキュリティ関連のアップデートが何も表示されませんでした。4月になっても何も表示されないのですから,『2月以降に問題となっている「Adobe Reader 8.1.1」以前に存在する重大なセキュリティ・ホールについては,Adobe Reader 7.0.9ならバージョンが異なるために対象外なのだろう』と勘違いしても仕方がありません。
 写真2 Adobe Reader 7.0.9アップデート表示 [画像のクリックで拡大表示] |
しかし実情は全く異なります。アドビは,「Adobe ReaderとAcrobat 8のセキュリティアップデート公開」という情報を2月7日に公開していますが,その中で『AcrobatおよびAdobe Reader 8ユーザーの皆様に,潜在的なぜい弱性からユーザーを保護するため8.1.2アップデートを適用することを推奨します。 バージョン7.0.9およびそれ以前のAcrobatおよびAdobe Readerもこのぜい弱性の影響を受けます』と明確に記述しています。つまりAdobe Reader 7.0.9は,「アップデートの有無を今すぐチェック」で必要なアップデートが表示されないにもかかわらず,ウイルスやマルウエアが仕込まれたPDFファイルの影響を受けてしまうのです。
結局,このことを説明し,すぐにAdobe Reader 7.0.9をAdobe Reader 8.1.2に更新することを強く勧めました。
ちなみに,「Adobe ReaderとAcrobat 8のセキュリティアップデート公開」というWebに公開されている情報のリリース日は2月7日,更新日は2月20日とされていますが,日本においては4月下旬に更新され,『アドビでは,このセキュリティの問題を解決するためのAdobe ReaderおよびAcrobat 7のアップデートを5月末までにリリースする予定です』という情報が追加されています。
アドビは,「Adobe ReaderとAcrobat 8のセキュリティアップデート公開」の原文である「Security Updates available for Adobe Reader and Acrobat 7 and 8」を5月 7日に全面的に更新し,リンク先のレポートにおいて「Adobe Reader 7.1.0」をリリースしたことをアナウンスしました。執筆時点(5月7日)ではまだ日本ではアナウンスされていませんが,「日本語版Adobe Reader 7.1.0」も「最新バージョンのAdobe Readerのダウンロード」経由でダウンロード(ファイルサイズ:20.9MB)可能です。
今回のケースには,セキュリティ情報を常にウォッチしているシステム管理者でさえ陥る罠がありました。「Adobe Updater」において,その時点ではバージョンアップしか解決方法が存在しない重大なセキュリティ・ホールがあっても,旧バージョンでは一切告知されないという事象です。アドビは「Adobe Updater」において,単にバージョン内でのバージョンアップ状況を表示するだけではなく,そのバージョンの最終版でも防げない重大なセキュリティ・ホールが存在し対策モジュール提供に時間がかかる場合には,必要に応じてバージョンアップしなければならないことを,明確に認知できるようにしてほしいと思います。
| 著者について 以前,ITproで「今週のSecurity Check [Windows編]」を執筆していただいた山下眞一郎氏に,情報漏えい対策に関する話題や動向を分かりやすく解説していただきます。(編集部より) |
