「標的型攻撃が主流に」と言われるようになってから，随分時間が経ったように思う。それでも，いまだに決め手となる解決策が浮かび上がってこない。その一方で，日本でも被害はじわじわと広がっているようだ。

　中でも最近話題なのが，PDFファイルを悪用した攻撃である。攻撃手法としては決して新しいものではない。ただ，PDFドキュメントにはいくつかのセキュリティ上の問題があり，攻撃パターンが何通りもあるため注目されている。

　PDFドキュメントが悪用されてしまう要因は，主に次の3点が挙げられる。
（1）PDFファイルは自由度の高い仕様となっている
（2）コード内の不正個所を特定することが難しい
（3）ビジネス文書として一般的

　一見するとバイナリ・ファイルのように見えるPDFドキュメントは，テキスト・エディタでも内容を閲覧できる。その内容は図1のように「ヘッダー」，「オブジェクト」，「クロスリファレンス」，「トレーラ」で構成されている。

図1●PDFファイルのフォーマット

[画像のクリックで拡大表示]

　このうち何かと問題になるのが「オブジェクト」である。この部分にコンテンツやアクションの設定が記載されるからだ。

古い攻撃だが防げない

　本コラム（2007年11月15日号）でも紹介したが，PDFウイルスの多くは，Acrobat JavaScriptを利用する。昨年話題になったTrojan.Pidief.Aは，Acrobat JavaScriptとAcrobatのぜい弱性を悪用した典型的なPDFウイルスだった。このPDFウイルスは，データが暗号化されていないため内容を確認しやすい。手を加えたサンプルを紹介しよう（図2）。

図2●PDFウイルス「Trojan.Pidief.A」の中身

[画像のクリックで拡大表示]

　図2を見ると，オブジェクト領域に/windows/system32/cmd“.exe”という文字列がある。cmd.exeを利用し，外部から不正プログラムをダウンロードさせようとしている。ためしに，このPDFドキュメントをVirusTotalでチェックしてみた。VirusTotalは多数のウイルス対策エンジンでファイルのウイルス・チェックを実行し，検出率を測る無料サービスである。結果は25/32（78.13％）で，多くのウイルス対策ソフトで検出できた。