セキュリティベンダーの米シマンテックや、セキュリティ組織である米US-CERTや米SANS Instituteなどは2007年10月23日(米国時間)、Adobe ReaderやAcrobatの脆弱(ぜいじゃく)性を悪用するPDFファイルが出回っているとして注意を呼びかけた。脆弱性のある環境では、そのファイルを開くだけで悪質なプログラム(ウイルス)を実行される恐れがある。
悪質なPDFファイルは、メールに添付されて送られてくるという。メールの件名には、「invoice(請求書)」「statement(明細書)」「bill(請求書)」といった単語が含まれている。シマンテックやSANS Instituteによれば、「INVOICE alacrity」や「INVOICE depredate」「STATEMET indigene」といった件名が確認されているという。
添付されているPDFファイルの名前は、「INVOICE.pdf」「YOUR_BILL.pdf」「BILL.pdf」「STATEMET.pdf」など。このPDFファイルがウイルスの実体。PDFファイルには、Adobe ReaderやAcrobatの脆弱性を悪用する仕掛けが施されている。このため脆弱性の影響を受けるパソコンでは、PDFファイルを開くだけでファイルに仕込まれたプログラムが動き出す。
プログラムは、Windowsファイアウオールを無効にした上で、特定のサイトから別のウイルス(ダウンローダー)をダウンロードして実行。このウイルスは、さらに別のウイルスをダウンロードして次々と感染させる。
今回のPDFファイルが悪用する脆弱性は、米アドビシステムズが2007年10月5日付けで公表していたもの。この脆弱性は危険度が高いものであり、公表された当初から、悪用が容易であることが指摘されていた。実際、脆弱性を突いて「CALC.EXE(電卓)」を実行する無害のプログラム(検証プログラム)が、10月17日には確認されていた。しかし、実際に悪用するPDFファイルが確認されたのは今回が初めて。
脆弱性の影響を受けるのは、Internet Explorer 7(IE7)をインストールしたWindows XP上で、Adobe ReaderやAcrobatを使っている場合のみ。アドビシステムズでは、2007年10月22日に修正パッチ(アップデートプログラム)を公開。この修正パッチを適用していれば、「IE7+Windows XP」の環境でも影響を受けない。
このためシマンテックなどでは、修正パッチを適用することや、PDFファイルを開くときには十分注意することなどを勧めている。
