公表から約1ヶ月、PDFウイルス「TROJ_PIDIEF.IN」の脅威レベル変化を追跡

 米アドビシステムズ(Adobe Systems)は2009年3月10日、深刻な脆弱性を修正した「Adobe Reader 9.1」と「Acrobat 9.1」を公開しました。アップデートの適用で修正される脆弱性は、TrendLabs Malware Blog(英語ブログ:Portable Document Format or Portable Malware Format?)にて紹介しているPDFファイル(PDFウイルス)「TROJ_PIDIEF.IN」が攻撃に使用しているものです。Adobe Readerの自動更新機能である[Adobe Updater]からもそのアップデートは可能です。ウイルス対策の観点からは、ただちにアップデートすることをお勧めします。

図1 Adobe Readerの[Adobe Updater]画像
図1 Adobe Readerの[Adobe Updater]画像
Adobe Reader/Acrobatの「ヘルプ」メニューから「アップデートの有無をチェック」を選択することで最新版への更新が可能

 今回はこの脆弱性の脅威について振り返ってみたいと思います。脆弱性はPDFファイルに埋め込んだJBIG2画像の取り扱いに問題があり、バッファオーバーフローが発生。細工されたPDFファイルを開くことで、クラッシュしたりコード実行の危険性がありました。

 リージョナルトレンドラボでは、2月13日に同脆弱性を衝くPDFウイルスを日本国内のお客様から検体として提供を受けました。その当時、PDFウイルスは広域への広がりを見せておらず、標的型(ターゲット)攻撃に分類される脅威レベルでした。

攻撃タイプ ベンダ発表(発表日:2009/2/19) 脆弱性情報
会社名 識別番号 情報のタイトル CVE(JVN) 深刻度
受動 アドビシステムズ株式会社 APSA09-01 Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat CVE-2009-0658 9.3(危険)
トレンドマイクロ製品による脆弱性緩和策
  ソリューション バージョン 検出名、検出別名(2009/3/12時点)
ウイルスパターンファイル 5.785.00 TROJ_PIDIEF.IN
Exploit-PDF.i(McAfee)
Trojan.Pidief.E(Symantec)

1ヶ月間における脅威レベルの変化を追跡

 約1ヶ月経過した現在、脅威レベルはどのように変化してきたのでしょうか。CVSSにおける[現状評価基準]に基づき、評価を行ってみたいと思います。

 2月22日に多くの人が閲覧可能な状態で転用可能な攻撃コードが公開されていることを確認しています。このため、[攻撃される可能性(Exploitability)]は[容易に攻撃可能(Widespread)]な状態であると評価できます。

 次に、[利用可能な対策のレベル(Remediation Level)]の評価を確認したいと思います。2月19日に公開されたアドバイザリでは、「JavaScriptを無効にする」対策が提示されました(Adobe Readerの[編集]メニューより、[環境設定]を実行。分類項目の「JavaScript」を選択。「Acrobat JavaScriptを使用」のチェックボックスをクリアするとJavaScriptの無効化が可能)。
 一律で無効化するこの対策にはフォーム機能をはじめ、PDFファイルの持つインタラクティブ性が損なわれる副作用が生じます。このため、その実施にあたっては機能とセキュリティ強化のトレードオフが必要です。また、デンマークのセキュリティ企業Secuniaは無効化に対し、否定的な発表を行っています。2月24日の発表で彼らはJavaScriptを用いずとも脆弱性を衝くことは可能であると指摘しています(Secunia Blog:Adobe Reader/Acrobat 0-day Clarification)。
 このほか、今回の脆弱性では非公式なパッチ(Homebrew Patch)が2月22日に米SourcefireのVulnerability Reserch Teamよりリリースされています(VRT: Homebrew patch for Adobe AcroReader 9)。非公式パッチは問題解決を期待できる一方で、製造ベンダーからの保証面の不安が残ります。このため、適用する場合には環境に応じた十分な検討が必要であり、実際多くの組織では消極的なのが現状です。
 こうした紆余曲折があったものの、現在のステータスは、[正式対策(Official fix)]済みです。[暫定対策(Temporary fix)]を採らざる終えない環境ではこれまでの経緯を押さえておくことが望ましいといえます。

 最後に、[脆弱性情報の信頼性(Report Confidence)]の評価をみてみましょう。既にアドビシステムズ社は公式発表を終え、多くの研究者によって追試も行われています。[開発者が情報を確認済み(Confirmed)]と評価して問題なさそうです。

 こうして算出した現状値は「8.1」。読者の皆さんはこの値をどのように感じますか。皆さんの組織における環境値を[環境評価基準]に基づき算出し、[基本値]/[現状値]とあわせて[全体評価値]を算出してみてはいかがでしょうか。

報告日

経緯

2009-03-18

アドビシステムズ株式会社
「Adobe Reader」および「Adobe Acrobat」の旧製品(バージョン8および7)に対する修正プログラム(Acrobat 8.1.4と7.1.1、Reader 8.1.4と7.1.1)の提供が開始

2009-03-11

アドビシステムズ株式会社
Adobe Reader 9 および Acrobat 9 に対する修正プログラムの提供が開始

2009-02-24

デンマークSecuniaよりJavaScript無効化の効果について見解発表
Secunia Blog:Adobe Reader/Acrobat 0-day Clarification

2009-02-22

実証コード(PoCコード)がmilw0rmに投稿
Adobe Acrobat Reader JBIG2 Local Buffer Overflow PoC #2 0day

2009-02-22

米SourcefireのVulnerability Reserch Teamより非公式なパッチ(Homebrew Patch)がリリース
VRT: Homebrew patch for Adobe AcroReader 9

2009-02-19

アドビシステムズ株式会社
APSA09-01:Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat

2009-02-13

リージョナルトレンドラボにて、PDFウイルス検体を受信
「TROJ_PIDIEF.IN」

サードパーティ製PDF閲覧・印刷ソフトを利用する選択

 今回の事例では、サードパーティ製PDFソフトを使うことで、脆弱性の影響を回避しようとする考え方が話題となっています。これは何を意味しているのでしょうか。

 PDFファイルはその源流はアドビシステムズ社にあります。しかし、2007年にドキュメント・情報管理に関する非営利機関AIIM(Association for Information and Image Management)へその全仕様は譲渡され、いまや国際標準「ISO 32000-1:2008」に基づくオープンなフォーマットとなっています。このため、アドビシステムズ社以外のベンダからも多数のPDF閲覧・印刷ソフトがリリースされています。筆者自身もサードパーティ製PDFソフトを愛用しています。今回調べてみたところ、予想以上に多くのPDFソフトがリリースされていることを知りました。

  • Brava Reader
  • eXPert PDF Reader
  • Foxit Reader
  • Haihaisoft PDF Reader
  • PDF Reader
  • STDU Viewer
  • Sumatra PDF

 こうしたサードパーティ製PDFソフトでは独自の描画エンジンを使用し、PDFファイルを表示しているため、「サードパーティ製PDFソフトを使えば安心だ」という考え方が話題となりました。

 果たしてこの考えは正しいのでしょうか。

 今回の脆弱性はJBIG2画像の取り扱いに問題があります。これは、PDFフォーマットに起因するものです。このため、被害の大小はあれ、サードパーティ製PDFソフトにも何らかの影響を及ぼします。

 それ以前にセキュリティ対策としてサードパーティ製PDFソフトの利用を推奨することは何ら意味をもちません。仮に今回の脆弱性に対して耐性をもつPDFソフトを利用していたとしても、そのソフトウェアの安全性を保証するものではありません。攻撃者が次なる標的としてあなたが利用するソフトウェアを狙うやもしれません。世界的に使われている有名ソフトウェアだけではなく、国内が中心のローカルなソフトウェアが抱える脆弱性への攻撃が増えている現状に目を反らすべきべきではないといえます。

 こうしたなか、米Foxit SoftwareのFoxit Readerでは3月9日に脆弱性を修正したv3.0 Build 1506とv2.3 Build 3902をリリースしています。サードパーティ製ソフトウェアを選択する際には、迅速なセキュリティ対応が実施されている製品をお勧めします。

引き続きの注意が必要な文書ファイル

 セキュリティ啓蒙教育を受けたことのある方なら、「不審なファイルを開かない。」という基本対策をご存じかと思います。しかし、これが文書ファイルの場合、基本対策を理解していても開封率が高まる傾向にあります。2007年の10月にも「EXPL_PIDIEF(ピディエフ)」が仕込まれたPDFファイルをスパムメール(迷惑メール)に添付し拡散させる攻撃が報告されています。その際には、請求書や納品書を騙ったファイル名が命名されており、ソーシャルエンジニアリングとウェブを悪用する手法が組み合わされ攻撃が仕掛けられました(ウイルス感染被害レポート – 2007年10月度)。今回の脆弱性も同様の攻撃に発展しうる危険性が考えられます。

 PDFファイルに限らず、オフィス文書の取り扱いには引き続きの注意が必要です。次のような基本セオリーを徹底することがリスクと上手くつきあって行く上で重要であるといえます。

  • レピュテーション技術の活用
  • 総合セキュリティソフトの利用とアップデートによる最新状態の維持
  • OSのみならず、アプリケーションの脆弱性に対する速やかな修正
  • 不審なファイルは開かない
  • データ実行防止(DEP:Data Execute Prevention)機能の利用検討
  • 不要なネットワーク共有の解除

【訂正と追記】

2009/03/19 16:50 Adobe Reader/Acrobatの旧バージョンに対する脆弱性修正版リリース情報について追加。
2009/03/13 13:37 脅威レベルの変化に関する時系列表を追加。

Related posts:

  1. アメリカ合衆国独立記念日にちなんだ文面でウイルス感染サイトへ誘導するスパムメール
  2. Internet Explorer 7の脆弱性(MS09-002)への攻撃を確認(HTML_DLOADER.AS)
  3. サイバー空間における豚インフルエンザ騒動の影響
  4. ロイヤルベビー誕生に便乗 Blackhole Exploit Kit によるスパムメール攻撃を確認