「標的型攻撃が主流に」と言われるようになってから,随分時間が経ったように思う。それでも,いまだに決め手となる解決策が浮かび上がってこない。その一方で,日本でも被害はじわじわと広がっているようだ。
中でも最近話題なのが,PDFファイルを悪用した攻撃である。攻撃手法としては決して新しいものではない。ただ,PDFドキュメントにはいくつかのセキュリティ上の問題があり,攻撃パターンが何通りもあるため注目されている。
PDFドキュメントが悪用されてしまう要因は,主に次の3点が挙げられる。
(1)PDFファイルは自由度の高い仕様となっている
(2)コード内の不正個所を特定することが難しい
(3)ビジネス文書として一般的
一見するとバイナリ・ファイルのように見えるPDFドキュメントは,テキスト・エディタでも内容を閲覧できる。その内容は図1のように「ヘッダー」,「オブジェクト」,「クロスリファレンス」,「トレーラ」で構成されている。
このうち何かと問題になるのが「オブジェクト」である。この部分にコンテンツやアクションの設定が記載されるからだ。
古い攻撃だが防げない
本コラム(2007年11月15日号)でも紹介したが,PDFウイルスの多くは,Acrobat JavaScriptを利用する。昨年話題になったTrojan.Pidief.Aは,Acrobat JavaScriptとAcrobatのぜい弱性を悪用した典型的なPDFウイルスだった。このPDFウイルスは,データが暗号化されていないため内容を確認しやすい。手を加えたサンプルを紹介しよう(図2)。
図2を見ると,オブジェクト領域に/windows/system32/cmd“.exe”という文字列がある。cmd.exeを利用し,外部から不正プログラムをダウンロードさせようとしている。ためしに,このPDFドキュメントをVirusTotalでチェックしてみた。VirusTotalは多数のウイルス対策エンジンでファイルのウイルス・チェックを実行し,検出率を測る無料サービスである。結果は25/32(78.13%)で,多くのウイルス対策ソフトで検出できた。
