ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

モノカルチャーの脅威――新たな標的はPDF

» 2007年10月03日 11時43分 公開
[Larry Seltzer,eWEEK]
eWEEK

 おそらく、Windowsの市場独占に対する最も聡明な反論は、「モノカルチャー」の主張だ。大多数のユーザーが同じプラットフォームを使っていると、それだけ多くのユーザーがそのプラットフォームへの攻撃に対して無防備になってしまう、というものだ。

 Windowsは相変わらず独占的だが、ほかにも多数のモノカルチャーが現れている――それぞれに脆弱性の問題を伴って。Windowsと同様に、これらも脆弱性研究、さらには攻撃コード開発の点で注目が高まっている。ある意味では成熟の兆候と言える。

 新たなモノカルチャーの筆頭は、明らかにAdobe Acrobatの文書フォーマット「PDF」だ。Acrobatのセキュリティ脆弱性は今に始まったことではないが(ここには1997年のものがある)、最近この分野ではいろいろと動きがあり、こうした問題へのAdobeのこれまでの対応は決して素晴らしいものではない。

 直近の問題は、Gnucitizenと名乗る研究者が起こしたものだ。ヒステリーをあおるのは好きではないが、Acrobatの深刻な脆弱性に関する彼の主張は注目に値する。たとえ、彼がその主張をまだ裏付けていなくてもだ。彼はこれまでに一連の脆弱性を発見した。それにこの数年、PDFの脆弱性は多数見つかっている。ここには、PDFを開くことでコードを実行する手法を示した彼の最近のデモがある。

 Microsoft Officeが攻撃しにくくなる中で、PDFはおそらく、優位を求める攻撃者にとって完ぺきな次の標的だろう。PDFファイルは非常に信頼されており、重要な文書のフォーマットとして選ばれている。電子署名の強力なサポートにより、デジタル公証などの分野でも採用されている。

 何年にもわたる攻撃の末、ユーザーはOffice文書を電子メールで送るのを敬遠するようになり、皆のセキュリティソフトがOfficeファイルをスキャンするようになった。Secure ComputingのWebWasherなど、PDFをゲートウェイでスキャンして攻撃コードを探す製品もあるにはあるが、PDFスキャンへの対応はそれほど広まっていない。

 AdobeがMicrosoftに似ているのは、ここ数年、セキュリティ問題を十分に考えずにPDFに機能を詰め込んできたことだ。例えばJavaScriptがそうだ。JavaScriptをPDFに埋め込んでポップアップウィンドウやフォーム確認などの機能を追加することができ、デフォルトでオンになっている。こうしたJavaScriptに合法的な用途があるのは分かるが、滅多にないと確信している。一方、最近のPDFの脆弱性の多くはJavaScriptが中心的になっている。ネットワークポリシーの問題としてAcrobat ReaderのJavaScriptをオフにする方法があるとしても、わたしには見つけられなかった。もしできるのなら、その方法を教えてほしい。

 一方で、サードパーティーのPDFリーダーもたくさんある。PDFの脆弱性の多く――ほとんどとまでは言わなくても――が、PDF対応プログラム全般というよりも、実際はAcrobatおよびAcrobat Readerに関連するものだと仮定するのは妥当と言える。

 もちろん、モノカルチャーを形成しているのはPDFだけではない。AdobeのFlashも有力候補だし、この数年、Flashの脆弱性は少なからず見つかっている。実際の攻撃コードの話も聞いているが、ごく少数だ。

 ほかに、モノカルチャー攻撃の対象になりそうなほど普及しているプラットフォームにはJavaがある。あまり話題にはなっていないが、Javaのセキュリティホールを突いてシステムを攻撃しようとするトロイの木馬入りWebサイトを見たことがある。先日Sunは、Javaのセキュリティ対応を強化するための対策を発表したところだ。

 攻撃の対象になりそうな最後の重大なモノカルチャーはGoogleだ。最近はGoogleソフトの脆弱性が多数報告されている。

 Windowsでの脆弱性開発の速度は頭打ちになった感じがする。実際に革新が起きているのはソーシャルエンジニアリングのようだが、複雑な開発の手間をかけて、デバイスドライバを介して標的を絞った攻撃を仕掛けるチャンスもある。ここで挙げた新たなモノカルチャーは攻撃者に魅力的な可能性を示している。もうすぐ、これらの技術がもっとニュースで取り上げられるようになるだろう。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.