悪意のあるハッカーは、AdobeのPDF Reader/Acrobatに存在する(未パッチの)ゼロデイ脆弱性を悪用して、影響を受けたコンピュータからデータを抜き出している。
Adobeが公表したアドバイザリによれば、この重大な脆弱性は、Adobe ReaderおよびAcrobatの9.2以前のバージョンに存在する。この脆弱性は実際に悪用される事例が出ている。
残念ながら、同社はまだ顧客に対して緩和策を提供していない(編集部注:本稿執筆後、Adobeは緩和策を提示するアドバイザリを公開している)。
ShadowServer Foundationの専門家は、この状況を「非常に悪い」と説明している。
われわれはこの脆弱性を発見していないが、この問題に関する複数の報告を受け取っており、この問題を悪用する異なる複数の悪質なPDFのコピーを調査している。これは本物であり、非常に悪い。
現在分かっていることは、次のようなことだ。
この攻撃コードはすでに出回っていて、攻撃者によって積極的に使用されており、少なくとも2009年12月11日から出回っていたことがわかっている。ただし、攻撃の数は限定的であり、実際には標的型の攻撃で使われている可能性が高い。この攻撃コードは今後数週間でより広範囲に広がると見込まれ、残念ながらその間に完全に公になる可能性がある。われわれは、この攻撃コードに関する詳細について完全に承知しているが、以下のような理由からこれを公表する予定はない。
- 現在、この攻撃コードに対する完全な保護を提供するパッチやアップデートが存在していないこと。
- 主要なアンチウイルスベンダーの多くが、これらの悪質なPDFファイルをほとんど、あるいはまったく検知していないこと。
とはいうものの、この脆弱性がAdobe Acrobat [Reader]自体のJavaScriptの関数に存在するということは言うことができる。さらに、脆弱性のあるJavaScriptはzlibのストリーム内で難読化されており、シグネチャによる一般的な検知や侵入検知は非常に難しくなっている。
現在のところ、Adobe ReaderおよびAcrobatのユーザーには、ただちにJavaScriptを無効にすることを勧める。JavaScriptを無効にするには、[編集]→[環境設定]→[JavaScript]を選択し、[Acrobat JavaScriptを使用]のチェックボックスを外せばよい(編集部注:Adobeは本稿執筆後に提示した緩和策の中で、JavaScript Blacklist Frameworkを利用できないユーザーに対し、この対策を勧めている)。
あるいは、さらによいのは、他のPDFリーダーを使うことだ。
(編集部注:本稿執筆後、Adobeは緩和策を提示するアドバイザリを公開している)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ