『PDF』ファイルの脆弱性対応を逆手に取るクラッカー

先月報じた通り、『PDF』形式ファイルの脆弱性を善玉ハッカーが発見し、開発元の Adobe が対策を進めていた。

Adobe は22日、この脆弱性に対応した『Adobe Reader 8.1.1』および『Acrobat 8.1.1』をリリースした。しかしロシアの犯罪者たちは、まず修正版を調べて該当の問題を割り出し、現在この脆弱性を悪用する PDF スパムを大量に送信している。これは、セキュリティ更新版をインストールしていない環境に、ルートキットやトロイの木馬を仕込むのが狙いだ。

セキュリティ製品ベンダー Symantec が自社 Blog『Security Response Weblog』に掲載した記事によると、このスパムは件名に「invoice」「statement」「bill」などを含み、添付 PDF ファイルの名前は「INVOICE.pdf」「YOUR_BILL.pdf」「BILL.pdf」「STATEMET.pdf」などになっているという。

Adobe の修正版アプリケーションをインストールしていない環境で、Web ブラウザ『Internet Explorer 7』(IE 7) を用いている場合、これらのファイルを開いた際にアプリケーションがクラッシュし、ファイヤーウォールが無効化され、2つのルートキットがコンピュータにインストールされてしまう。そしてこの悪質コードは、銀行口座などの財務情報を盗み出すため、トロイの木馬をインストールする。

先に述べた通り、Adobe はすでに問題の脆弱性に対応した Acrobat Reader 8.1.1 および Acrobat 8.1.1 をリリース済みだ。また『Adobe Reader 7.0.9』および『Acrobat 7.0.9』についても、後日セキュリティ更新版をリリースすると勧告の中で述べている。ただし、実際の問題は IE 7 に存在しており、Adobe 製品はインターネットから『Windows』の「ShellExecute」関数に URL を渡す段階で、適切な処理を行なわなかったに過ぎない。修正版では、引き渡すリンク内に危険なコードがないか、確実にチェックするようになった。

なお、今回の脆弱性が影響するのは、『Windows XP』または『Windows Server 2003』で IE 7 を導入している環境だけだ。これより古い Windows をはじめ、『IE 6』や『Firefox』を用いている環境、そして『Windows Vista』では影響を受けない。一方 Microsoft はセキュリティ勧告を発表し、IE 7 をインストールした Windows XP および Windows Server 2003 における URL 処理の脆弱性について、対応に向け公になった報告を現在調査中と述べており、不審なファイルの取り扱いに注意するよう勧告している。