添付PDFファイルを使ったサイバー攻撃、3つの手法
実験5
粕淵 卓=NTT西日本 ビジネス営業本部 クラウドソリューション部、碓井 利宣=NTTセキュアプラットフォーム研究所 セキュアネットワーク構成グループ
出典:日経NETWORK 2017年9月号
pp.32-33
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
見知らぬ人から届いたメールに、実行ファイルが添付されていても多くの人は開かないだろう。しかし、拡張子が「pdf」のファイルならどうだろう。安全だと思って開いてしまうのではないだろうか。PDFファイルは本当に安全なのか、実験してみた。
3種類の攻撃方法を試す
実験5では、PDFファイルを使って可能とされている攻撃方法を複数試した。(1)PDFファイルにJavaScriptを埋め込む、(2)実行形式のファイルをPDFに見せかける、(3)PDFのビューワーソフトの脆弱性を悪用する、の三つだ。
実験5の概要
拡張子が「pdf」のファイルを使った3種類の攻撃を試した。一つは、不正な処理をさせるJavaScriptをファイルに埋め込む方法。二つめは不正な処理を行う実行形式のファイルを「RLO」という手法でPDFに見せかける方法。三つめはPDFファイルを開くビューワーソフトの脆弱性を悪用して不正な処理をさせる方法である。
[画像のクリックで拡大表示]
(1)では、編集ソフト「Adobe Acrobat」を使ってPDFファイルにJavaScriptを埋め込んだ。JavaScriptを埋め込んだPDFファイルをユーザーが開くと、自動でJavaScriptが実行される仕様を悪用する。今回は、指定したURLにアクセスするJavaScriptを埋め込んだ。ただ標準のビューワーソフト「Acrobat Reader」は、JavaScriptの実行前に警告を表示するため、ユーザーは気付きやすい。
編集ソフトでJavaScriptを埋め込む
編集ソフト(Adobe Acrobat)を使えば、悪質なJavaScriptをPDFファイルに書き込める。ただし、PDFファイルに埋め込まれたJavaScriptが実行されると警告画面が表示されるので、ユーザーが気付く可能性が高い。
[画像のクリックで拡大表示]
この先は日経クロステック Active会員の登録が必要です
日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。