ネットソリューション部 担当部長
ある企業のシステム管理者から、「最新版のAdobe Readerを使っていても未対応のセキュリティ・ホールを突かれてウイルスやマルウエアに感染する事例が増えていると聞いた。ウイルス対策ソフトのパターン・ファイル更新も間に合わないケースがあるようだが、どのような対策の方針を立てたらよいか」と相談を受けました。
前回のコラム「企業で使える無償「ソフトウエア最新化状況検査ツール」を評価する」でも紹介したように、12月中旬ころから、Adobe ReaderとAcrobatの未対応のセキュリティ・ホールを狙う「ゼロデイ攻撃」が発生しています。Adobe ReaderとAcrobatを最新版に更新していても、不正に改ざんされたWebサイトを閲覧するだけでウイルスやマルウエアに感染する事例が見られています。
[関連記事]
- 「PDFファイルに要注意」、ADOBE READERの脆弱性を突くウイルス出回る パッチ未提供で対策ソフトの多くは検出せず、回避策はJavaScript無効化(2010/01/05)
- JVNVU#508357 Adobe Reader および Acrobat における解放済みメモリを使用する脆弱性 緊急(JVN、2009/12/16)
- ><<< JPCERT/CC Alert 2009-12-24 >>> Adobe Reader及びAcrobatの未修正の脆弱性に関する注意喚起(JPCERT、2009/12/24)
このことは米アドビ システムズも認識しており、セキュリティ警告レポート「Security Advisory for Adobe Reader and Acrobat」(英語情報)を2009年12月15日に公開しました。また同日情報が追加され、発見されたセキュリティ・ホールの対策バージョンを2010年1月12日(現地時間)までに公開予定であることもアナウンスされました。
影響を受ける製品は、原稿執筆時点(1月7日)時点で最新版であるAdobe Reader 9.2とそれ以前のバージョン(Windows、Macintosh、UNIX版)、およびAdobe Acrobat 9.2とそれ以前のバージョン(Windows、Macintosh、UNIX版)とされています。
また解決手段(リスクの軽減策)として、以下の順に紹介しています。
(1)JavaScriptブラックリストフレームワーク機能を利用すること
(2)JavaScriptブラックリストフレームワーク機能を利用することができない場合は、Adobe ReaderとAcrobatでAcrobat JavaScriptを無効にすること
(3)可能であればMicrosoft DEP(データ実行防止:Data Execution Prevention)機能を使用すること
“JavaScriptブラックリストフレームワーク”とは、Adobe ReaderとAcrobatに影響を与える可能性があるAPIを、個別にブラックリストを使用してブロックできる機能です。すべてのJavaScriptを無効にする必要がなくなります。APIの脆弱性が発見された場合には、Adobe ReaderとAcrobatアップデートでブラックリストが更新されていくようです。
なおJavaScriptブラックリストフレームワークでの対処方法は、レポート「JavaScriptブラックリストフレームワークを利用したセキュリティリスク軽減(Acrobat/Adobe Reader)」に日本語で記載されています。
ただ、より簡単で徹底しやすいリスクの軽減策は2番目の「Adobe ReaderとAcrobatでAcrobat JavaScriptを無効にすること」です。以前のコラム「最新版「Adobe Reader 9」の登場に伴って準備しなければならないこと」で述べたように、デフォルト状態では有効な「Acrobat JavaScript」を無効にします。
【「Acrobat JavaScript」オプションの無効化設定】
「Adobe Reader 9」の「編集」メニューの「環境設定」を開きます。「分類」の項目のうち、「JavaScript」の中の『JavaScript』欄の「Acrobat JavaScriptを使用」設定のチェックボックスをデフォルトの選択状態から非選択に変更します。
アドビがセキュリティ警告レポートを公開したのは2009年12月15日。対策バージョンを公開したのは2010年1月12日です。既に悪用されていることを知りながら、約1カ月後にようやく対策というアドビの対応は、正直言って遅過ぎると考えます。
日本のアドビ システムズのWebサイトには、“サポート”ページの“トップソリューション”で、『Adobe ReaderとAcrobatの脆弱性に関する最新のセキュリティー情報をお読みください(英語)。関連のサポート情報「JavaScript ブラックリストフレームワークを利用したセキュリティリスク軽減」もご覧ください。』という警告が掲載されています。これは米国本社の“サポート”ページの“Top Solutions”には無い警告です。ただ肝心のセキュリティ警告レポートは、英語版の公開から半月以上たっても英語のままという中途半端な状況です。
皆さんがこのコラムを読まれている頃には、発見されたセキュリティ・ホールの対策バージョンが公開されているでしょうから、当面の対応策は、Adobe ReaderとAcrobatを最新版に更新したうえで、念のためにデフォルト状態では有効な「Acrobat JavaScript」を無効化する、ということになります。
