「Adobe Readerにまたセキュリティ・ホールが発見された。アップデートが必要らしい。ところがブラウザのプラグインのセキュリティ・アップデートは,もぐら叩き的な対応で混乱している。管理を徹底するためのポイントをアドバイスしてほしい」。最近,こうした相談を受けました。
確かに,JPCERT/CC Alertでも,PDF閲覧アプリである「Adobe Reader」および編集アプリである「Adobe Acrobat」に関する注意喚起のレポートが掲載されています。
■「Adobe Acrobat 及び Adobe Reader の脆弱性に関する注意喚起」(公開日:2008/06/24)
[関連記事]Adobe ReaderとAcrobatに危険な脆弱性,最新版も影響を受ける(2008/06/24)
細工を施されたPDFファイルを開くだけで,悪意のあるプログラム(ウイルス)を実行される可能性があります。また,攻撃が始まっているセキュリティ・ホールなので,すぐに対応する必要があります。対処方法は,6月27日の原稿執筆時点での最新版である「Adobe Reader 8.1.2」の場合,バージョンアップではなく,「Adobe Reader 8.1.2 セキュリティアップデート1」(更新パッチ)を適用することです。影響が発生するバージョンの詳細は,上記記事を参照して下さい)。
Adobe Readerを起動し,「ヘルプ」メニューの中の「アップデートの有無をチェック」を選択します。数秒後,Adobe Readerの状況を示す「アップデート」が表示されます。最新版である「Adobe Reader 8.1.2」の場合,「アップデート」の存在を示すメッセージがきちんと表示されます。
写真1●「アップデート」の存在を示すメッセージ
[画像のクリックで拡大表示]
さらに,”詳細を表示”をクリックすると,その「アップデート」が「Adobe Reader 8.1.2 セキュリティアップデート1」であることが分かります。
写真2●アップデートの詳細表示
[画像のクリックで拡大表示]
アドビの対応は素早いのですが,困ったことが一つあります。この「Adobe Reader 8.1.2 セキュリティアップデート1」を適用済みかどうかが,「ヘルプ」メニューの中の「Adobe Reader8について」を選択しても適用前と適用後の変化が無く,分からないのです。「アップデートの有無をチェック」を再度実行すれば,適用後の場合,「現在,利用可能なアップデートはありません」と表示されるので実害はありませんが,少々気になるところです。
写真3●Adobe Readerのバージョン確認画面
[画像のクリックで拡大表示]
このコラムで繰り返し述べていますが,Webブラウザのプラグインの継続的なセキュリティ・アップデートの重要性は,最近特に高まっています。「Microsoft Update」の周知とともにマイクロソフト製品のセキュリティ・ホールを含むバグ修正のパッチ適用が進む中,アップデートが漏れがちなプラグインは,攻撃者にとっては絶好の狙い目になりつつあるからです。
ここで,プラグインといっているものは,『機能をブラウザに追加するためのソフトウエア』であり,Firefoxでは「プラグイン」,Internet Explorer(IE)では「アドオン」と呼ばれています。このコラムでは便宜上,「プラグイン」という言葉に統一します。
余談ですが,Firefoxは「プラグイン」と「アドオン」の役割が明確に区別されています。「Firefox サポート - チュートリアル - プライバシーとセキュリティ」というWebページの解説を見ると,拡張機能(アドオン)について次のような記述があります。『Firefox は,インストールされている拡張機能とテーマについても容易な更新を可能にしています。最新のバージョン情報を定期的に確認し,配布元から更新が提供された場合は,更新が利用可能になったことを通知します』とされています。
一方のプラグインについては,『Firefox は,Flash PlayerやAdobe Readerなどのプラグインについては更新を行いません。プラグインにはしばしばセキュリティの問題が報告されますので,Firefox を更新するタイミングなどに,各配布元の情報をご確認ください』とされています。
企業や組織における業務用パソコンの管理では,ブラウザのプラグインのセキュリティ・アップデートの管理を徹底するポイントは,まず,その企業や組織において使用可能(管理対象)なプラグインを明確にすることです。対象を明確にしなければ管理のしようがありません。
