図1 実証コード(PDFファイル)を開くと、電卓が自動実行
図1 実証コード(PDFファイル)を開くと、電卓が自動実行
[画像のクリックで拡大表示]
図2 実証コードをバイナリエディターで開いた画面(トレンドマイクロの情報から引用)
図2 実証コードをバイナリエディターで開いた画面(トレンドマイクロの情報から引用)
[画像のクリックで拡大表示]

 トレンドマイクロは2007年10月17日、同社の公式ブログにおいて、米アドビシステムズのAdobe Acrobat/Readerの脆弱(ぜいじゃく)性を実証するコード(PDFファイル)が公開されたことを明らかにした。脆弱性のある環境では、このPDFファイルを開くだけで「CALC.EXE(電卓)」が自動的に実行される。

 今回の実証コードが突く脆弱性については、アドビシステムズが2007年10月5日付けで情報を公開している。修正パッチや修正版は未公開。影響を受ける環境は、Windows XPおよびInternet Explorer 7(IE7)がインストールされているパソコン。IE7を利用していないユーザーや、Windows Vistaユーザーなどは影響を受けない。

 脆弱性の内容は、「mailto:」リンクの処理に関するもの。Adobe Reader/Acrobatには、特定の「mailto:」リンクを適切に処理できない場合がある。このため、細工が施された「mailto:」リンクを含むPDFファイルを開くだけで、任意のプログラム(コマンド)を実行される恐れがある。

 今回の実証コード(PDFファイル)は、この脆弱性を突くことが可能であることを示すもの。10月16日、実証コードに関する情報(URLなど)が、セキュリティ関連のメーリングリストへ投稿された。日経パソコン編集部ではこのPDFファイルを入手。IE7をインストールしたWindwows XP SP2上でこのファイルを開くと、すぐに電卓が起動された(図1)。

 トレンドマイクロでも、電卓が自動実行されることを確認済み。同社の情報によれば、このPDFファイルをバイナリエディターで開くと、「mailto:」で始まるリンクの中にCALC.EXE(電卓)が指定されていることを確認できるという(図2)。

 今回の脆弱性は9月20日に報告されていて、当初から悪用が容易であることが指摘されていた。同社では、実証コードの公開により悪用のハードルがより低くなったと警告。信頼できないPDFファイルは開かないこと、管理者はユーザーに対して注意換気することなどを呼びかけている。

 なお今回の脆弱性について、セキュリティベンダーのセキュニアなどは、Adobe Acrobat/ReaderではなくWindowsの脆弱性であると主張。マイクロソフトも、IE7をインストールしたWindows XP/Server 2003の環境には、リンク(URL)に関する脆弱性が存在することを10月10日に明らかにしている。