PDFの仕様を悪用する攻撃の可能性、IPAとJPCERT/CCが注意喚起

PDFにFormCalcで書かれたスクリプトを埋め込むことで、PDFがホストされているサーバと同一オリジン上の任意のコンテンツが取得できる仕様が悪用された場合、サーバ上の機密情報が窃取される可能性があるという。

[ITmedia]

　情報処理推進機構とJPCERT コーディネーションセンターは11月14日、PDFファイルの仕様を悪用した攻撃によってサーバ上の機密情報が窃取される危険性への注意を呼び掛けた。一部のITベンダーも影響の有無などを公表している。

JVNで公表された注意喚起

　両機関がJVNで公表した情報によると、PDFでは入力フォームのあるドキュメントを作成する機能のために、PDF 1.5以降でAdobeが策定した「Adobe XML Forms Architecture」（XFA）をサポートする。また、PDFドキュメントにプログラムを埋め込むために、「FormCalc」を利用できる。

　FormCalcには、コンテンツの取得やポスト、アップロードを可能にする「Get()」「Post()」「Put()」の関数があり、引数に指定されたURLからのコンテンツ取得や、引数に渡したデータを指定したURLにポストできる。PDFに埋め込まれたプログラムから、同一オリジン上のコンテンツをダウンロードしたり、異なるオリジンに対してポストしたりすることが可能という。

　この動作はAdobe XFAの仕様であるものの、攻撃者がこの仕様を悪用して攻撃することにより、サーバ上の機密情報を取得されたり、攻撃者に不正なリクエストを送信され、アカウントの奪取やシステムの設定変更を行われたりする可能性がある。

　攻撃は、サーバ側でユーザーによるPDFファイルのアップロードを許可し、アップロードされたPDFを同一オリジンに格納すること、また、クライアント側でAdobe PDF Plugin を有効にしたInternet Explorer 11（IE 11）もしくはFirefoxで使用していることが条件になる。

　対策は、クライアント側ではIE 11もしくはFirefoxで有効にしているAdobe PDFのプラグインを無効化する。サーバ側ではPDFコンテンツを別のサンドボックス・ドメイン上に格納することだという。ただし、攻撃者がPDFを埋め込んだ場合は、HTTPレスポンスヘッダに「Content-Disposition: attachment」を付与しても無視され、有効な対策にはならないとしている。

　11月14日現在でサイボウズとBizMobileが影響を受ける製品があると報告。サイボウズは11日に同社サイトでこの問題に関する情報を公開していた。BizMobileは状況を調査中だとしている。

サイボウズの注意喚起