アドビ製品のセキュリティ問題に苦しめられる企業

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009年05月06日 16時00分

  • このエントリーをはてなブックマークに追加

 AdobeはAdobe Reader 9.1およびAcrobat 9.1に存在する、緊急度の高いゼロデイ脆弱性を修正するパッチのリリース日を、米国時間5月12日に設定している。

 Adobeの公式なセキュリティ勧告では、この脆弱性の深刻さを認めており、ユーザーに対してコード実行攻撃を避けるための一時的な対策として、JavaScriptを無効にすることを勧めるアドバイスを繰り返している。しかし、このAdobeの緩和策は実現が難しく、さらに悪いことに、企業環境では役に立たないという愚痴が顧客から聞こえてきている。

 (参照:Adobe Readerの新たなゼロデイ脆弱性に対する攻撃コードが公開される

 ニューヨークに本社を置く電子商取引企業のセキュリティ担当役員であるErik Cabetas氏は、歯に衣着せず次のように述べている。

 これはうまくいかない。これでは、JavaScriptは無効にできない。この設定をしても、ユーザーには、曖昧なダイアログボックスが表示され、JavaScriptが無効になっているため見られない内容があると説明されるだけだ。何が起こるかは明らかだ。ほとんどのユーザーは、クリックしてJavaScriptを有効にしてしまうのだ。

 ユーザーが目にするダイアログボックスは、以下のようなものだ。

Adobe Readerが表示するダイアログ

 (参照:アドビ:ユーザーにAdobe ReaderのJavascript機能を無効にすることを求める

 Cabetas氏は電子メールの中で、同氏は自分の会社全体のJavaScriptを無効にするスクリプトを書いたが、その結果は、1人の従業員が「友人からもらったPDFを開くために、yesをクリックすべきか」と問い合わせてきただけに終わったと書いている。

 もちろん、残りのユーザーはみな、私にたずねることもなく、黙ってyesをクリックしているのだ。これは、彼らが、セキュリティ関連のメッセージが出た際にはそうするように条件付けされているからだ。

 他の何人もの企業IT管理者も、同様にこれらの懸念を口にしており、Adobeの製品にゼロデイ脆弱性(およびそのパッチ)が増えていることに対する、彼らの不満は高まっている。

 ESETのRandy Abrams氏は、AdobeとAdobe製品の脆弱性について、別の問題を提起している

 Acrobatに対するJavaScriptの追加は、Acrobat文書の攻撃対象領域を大きく増やした。Microsoftは何年も前にマクロの力を悟り、Wordのマクロを事実上無効にし、ユーザーが意図的に有効にしない限りは利用できないようにした。一方Adobeは、疑いなくマクロと同じくらい強力なJavaScriptを有効にしていながら、ユーザーに対して、彼らがさらされている急速に増えている脆弱性について知らせていない。

 ユーザーがJavaScriptを無効にした後、JavaScriptを含むPDFファイルを開こうとすると、そのJavaScriptを実行してもよいかとたずねられるが、その際、常にJavaScriptを実行するかどうかを聞くチェックボックスも併せて表示される。このオプションには、これを選択した場合、セキュリティが非常に低くなることが明記されるべきだ。

 今回も指摘しておくが、もしAdobe製品を使用することが危険だと考えるのであれば、他の製品を検討してみた方がいいだろう。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]