トレンドマイクロは2007年10月27日、米アドビシステムズの「Adobe Reader」や「Acrobat」の脆弱(ぜいじゃく)性を悪用するウイルス(PDFファイル)が日本国内でも確認されたとして注意を呼びかけた。脆弱性を解消していないパソコンでは、メールに添付されたPDFファイルを開くだけで被害に遭う。
悪用される脆弱性は、Adobe Reader 8.1およびそれ以前、Adobe Acrobat Standard/Professional/Elements 8.1およびそれ以前、「Adobe Acrobat 3D」に存在する。これらのいずれかに加えて、Internet Explorer 7(IE7)をインストールしているWindows XPパソコンが影響を受ける。
今回の脆弱性は、2007年10月初めごろにセキュリティベンダーなどにより公表された。同時に、脆弱性を突いて「CALC.EXE(電卓)」を実行する無害のプログラム(検証プログラム)も公開されていた。
このためアドビシステムズでは、10月22日に脆弱性を修正するアップデートプログラム(修正パッチ)を公開。このプログラムを適用して、ReaderやAcrobatをバージョン8.1.1にアップグレードすれば、脆弱性は解消される。
アップデートプログラムが公開された翌日の10月23日には、脆弱性を悪用するウイルス(PDFファイル)が実際に出現。脆弱性の影響を受ける環境でこのファイルを開くと、中に仕込まれたプログラムが動き出し、特定のWebサイトから別のウイルスをダウンロードして実行する。
この時点では、国内のユーザーに対して「PDFウイルス」が送られてきたという報告はなかった。しかし今回、トレンドマイクロでは国内ユーザーにも送付されていたことを確認した。
同社が確認したPDFウイルスは、10月23日以降に出回っているウイルスと仕組みは同じ。ただし、PDFウイルスを添付したメールの件名や、PDFウイルスのファイル名が異なる。10月23日に確認されたPDFウイルス添付メールの件名は、「invoice(請求書)」「bill(請求書)」などを含んでいたのに対して、今回確認されているメールの件名は、以下の通り。
- Balance Report
- Credit report
- Personal Balance Report
- Personal Credit report
- Personal Financial Statement
- tax statement
- Your Credit points
- Your Credit report
- Your Credit File
PDFウイルスのファイル名も異なる。10月23日時点で確認されたファイル名は「INVOICE.pdf」「YOUR_BILL.pdf」「BILL.pdf」「STATEMET.pdf」などだったが、今回は以下のようなファイル名が付けられているという。
- debt.[ 年].[ 月].[ 日].[ 時間].pdf
- overdraft.[ 年].[ 月].[ 日].[ 時間].pdf
- report.pdf
- report.[ 年].[ 月].[ 日].[ 時間].pdf
上記の[ 年]、[ 月]、[ 日]、[ 時間]の部分には、「overdraft.2007.10.26.3122149.pdf」のように、送信日時と思われる半角数字が入力されている。
また、PDFウイルスが別のウイルスをダウンロードするためにアクセスするサイトも、前回と今回とでは異なる。
メールの本文例は「Please read the attached file.」。メールの件名や本文、ファイル名はいずれも英語。同社では、2007年10月27日午前7時時点、日本語で書かれたPDFウイルス添付メールは未確認。
トレンドマイクロでは、PDFウイルスの被害に遭わないために、アドビシステムズが提供するアップデートプログラムの適用を推奨。加えて、「出所不明のメールを開かない」「不審なPDFファイルを開かない」「ウイルス対策ソフトを最新の状態にする」――ことを勧めている。