インターネット上には、”Adobe Reader” の未知および暗躍するゼロデイ脆弱性の情報が数多く存在しています。この情報には、Adobe のセキュリティ機能「サンドボックス」を回避する機能を含む要注意の機能があるため、当然のことながらユーザは注意しなければなりません。ただし、この状況に解決策がないわけではありません。
本ブログは、この脆弱性を利用するエクスプロイトの手法、またどのようなセキュリティ対策を実施できるかについてユーザに説明することを目的としています。
まずは脅威状況がどれほど深刻であるかということから理解していきましょう。Adobe Reader のバージョン10および11がゼロデイ脆弱性を利用するエクスプロイトの影響を受けると言われており、アンダーグラウンドでは3万~5万米ドル(2012年11月22日現在、およそ250万円~410万)で販売されていると報告されています。なぜこれほど高額なのでしょうか。それは、このゼロデイ脆弱性を利用するエクスプロイトは、Adobe Reader のバージョン10で導入されているサンドボックス機能による保護技術を回避するからです。このエクスプロイトは、JavaScript がソフトウェア上で無効になっている場合でも実行されます。ユーザが必要とされる唯一のやりとりは、PDFファイルを開き、Webブラウザを閉じるだけで、それだけで脆弱性が悪用されます。
この脆弱性が特定の標的型攻撃で悪用されるという情報があります。また、今後、悪名高い攻撃ツール「Blackhole Exploit Kit」に組み込まれるという情報もあります。この脆弱性が Blackhole Exploit Kit に追加されると、この攻撃ツールを経由することで広範囲に渡ってこの脆弱性が悪用されてしまう可能性があります。
当然のことながら、ユーザは、適切な方法で対応策を講じ、注意しておきましょう。問題の脆弱性の詳細が入手できないことから、トレンドマイクロでは、以下のセキュリティ対策を講じることをお勧めします。
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」では、PDFファイルを介してもたらされる攻撃をジェネリックに検出するために、長期に渡ってヒューリスティック検出を基にした複数のフィルタを提供しています。軽減策として、「トレンドマイクロ ディープセキュリティ」および「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のユーザは、以下のフィルタを適用してください。
トレンドマイクロは、長期に渡り収集してきた過去のゼロデイ脆弱性に対応する対策をこれらのフィルタにより提供しています。しかし、これらの対策が、今回の脆弱性を含むゼロデイ攻撃への確実な「万能薬」と考えるべきではありません。ゼロデイ脆弱性だけでなく、脅威からコンピュータを守るには、ユーザへの教育および最新のフィルタを導入することが依然として重要になります。
トレンドマイクロは現在もこの脅威を監視しており、新しい情報を入手次第、本ブログ上で更新情報をお知らせ致します。
参考記事:
by Pawan Kinger (Vulnerability Research Manager)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)