セキュリティ組織の米サンズ・インスティチュートは2008年4月24日、同年3月以降、悪質なPDFファイル(PDFウイルス)を使った「標的型攻撃(スピアー攻撃)」攻撃が急増しているとして注意を呼びかけた。PDFウイルスには、Adobe Readerの脆弱(ぜいじゃく)性を悪用する仕掛けが施されているので、開くだけで被害に遭う恐れがある。
今回警告された攻撃では、PDFウイルスはまともなPDF文書ファイルを装って、メールに添付されて送られてくる。PDFウイルスには、Adobe Readerなどの脆弱性を悪用する仕掛けが施されている。
この脆弱性は、米アドビシステムズが2008年2月に公表したもの。現時点での最新版であるバージョン8.1.2では解消済み。バージョン8.1.1以前(8.1.1を含む)のAdobe Readerで開くと、この脆弱性を悪用されて、PDFウイルスが勝手に動き出す。
具体的には、別のウイルスを生成してパソコンに感染させる。そのウイルスは、攻撃者が感染パソコンを自由に操れるようにする「バックドア」。同時に、無害のPDFファイルを生成し、Adobe Readerに表示させて、ユーザーの目をあざむく。ユーザーには、Adobe Readerのウインドウが一度閉じて、その直後に、無害のPDFファイルが表示されるように見えるという。
ちなみに、脆弱性のないAdobe ReaderでPDFウイルスを開くと、「ファイルが壊れています」といったエラーメッセージが表示される。
サンズなどが確認しているPDFウイルスの種類や、攻撃メールの内容はさまざま。同じ種類のPDFウイルスは、特定の企業/組織にしか送られていない模様。いわゆる、標的型攻撃だ。PDFウイルスのファイル名やメールの内容は、攻撃対象の企業/組織によってカスタマイズされていると考えられる。
同じ種類のPDFウイルスはわずかしか出回らないため、ウイルス対策ソフトメーカーの対応は後手に回っているようだ。サンズが入手したPDFウイルスのサンプルを、32種類のウイルス対策ソフトで検査できる「VirusTotal」サイトで調べたところ、ウイルスとして検出したのは5製品。PDFウイルスが生成するバックドアについても、検出できたのは5製品だった(いずれも検出できたのは2製品)。
以前の標的型攻撃では、Microsoft Office製品の脆弱性を悪用するWord文書やExcel文書が使われることが多かったが、現在では、攻撃者はPDFウイルスに移行しているという。自動更新機能(Microsoft Update)でアップデートされるOffice製品と比較すると、Adobe Readerの方がアップデートされないケースが多いと考えられるからだ。このためサンズでは、Adobe Readerをバージョン8.1.2にアップデートすることを強く勧めている。
