今週火曜(米国時間3月10日)のMicrosoftパッチデーに時間を割くときには、その次の日の分も忘れず残しておいてほしい。3月11日、AdobeはAcrobatとReaderの最新のゼロデイの脆弱性を修正するアップデートをわたしたちに賜ってくれる。
この脆弱性を突くコードはあまり広がっていないようだが、いつ爆発的に広まってもおかしくないと考えておいてほしい。eWEEKなどで先月起きたことから考えると、パッチがリリースされた後でも、PDFの攻撃コードが長い間大きな影響を持ち得るものと思っておいた方がいい。
JBIG2Decodeとして知られるようになったこの脆弱性のもたらし得るダメージは甚大だ。ディディア・スティーブンス氏はAdobe Readerのシェル拡張を通じてこのバグを突くデモを行った。この脆弱性を利用した不正なPDFファイルを含む(サムネイルビューの)フォルダを開くだけで、攻撃が実行されるという。
わたしは以前から、Adobeが自社製品の脆弱性に対し、積極的なアプローチを十分に取っていないと批判してきた。実際、JBIG2Decodeでは有効な緩和策すらない。Adobeが勧めているのはJavaScriptを無効にすることだけだ。JavaScriptはPDFでフォーム処理に使われているため、多くの組織にとって無効化は受け入れられない解決策だ。それに、JavaScriptがそこで使われているのは、Adobeがそこに組み込んだからだ。だがJavaScriptを無効化しても、この脆弱性と、それを突く既知の攻撃コードを防ぐことにはならない。
皆さんは、PDFがオープン標準(ISO 32000-1:2008)であることをご存じだろうか? これに関してはAdobeに感謝しなければならない。認めるべきところは認めよう。オープン標準であるということはつまり、誰でもPDF文書を作成あるいは閲覧できるツールを作れるということだ。実際そうしている企業もある。さまざまなプラットフォーム向けにPDF製品を提供している会社はたくさんある。
F-Secureのミッコ・ヒッポネンはいいことを言っている。Adobe Readerは新たなIEになっているというのだ(わたしなら古いIEになっていると言うところだが、その意味はお分かりだろう)。ミッコはこう言っている。「どういうわけか、皆がPDFファイルを読むのにAdobe Readerを使っているようだ。無料の代替選択肢がたくさんあるというのに。その方がずっと軽くて速くて、しかも起動に1分とかからない」
オーケー。ではミッコのアドバイスを取り入れることにしよう。それからもう少し話を単純にするために、PDFビュワーの話に限定しよう。Acrobatと競合するPDF生成ソフトはたくさんあるが、もっと話が複雑で、シート数ははるかに少ない。クライアントPCのAdobe Readerを、FoxitかSumatra PDFに置き換えるとしよう。アイデアとしてかなり有用であるし、Adobeに耐えられない人には満足のいくものだ。
皆さんがわたしのアドバイスを取り入れる前に、この戦略には明らかに限界があるということを付け加えておかないといけない。Adobe以外のビュワーに対する攻撃方法を誰も研究したり、開発していないからと言って、脆弱性がないということにはならない。攻撃コードが開発される可能性はあるし、誰かがどこかの組織にターゲット型攻撃を仕掛けようと思ったら、そうしたコードを開発することには大いに意味がある。
実際、サードパーティーのビュワーの脆弱性が悪用されたケースは既にある。最近eWEEKで起きた攻撃の調査の際に、SecuniaはFoxit Readerで同様の脆弱性を見つけた。両方の製品のJavaScriptを同じ人がコーディングしたのかと思うほどよく似ている。だが全体的に考えると、Adobeの脆弱性は代替ビュワーでは悪用できない。
この戦略は、Windowsのセキュリティ問題にうんざりしてMacを購入した人々のやり方を少々まねたものだ。標的にされるのを避けようとするというものだが、幾つか違いもある。Macに乗り替えたユーザーは、おそらく余分なお金を払うことになるし、ソフトと(確実に)ハードの選択肢も少なくなる。代替PDFビュワーはAdobe製品と簡単に置き換えられる「はず」だ。
すぐに完全に乗り替えることはお勧めしないが、わたしならきっとほかの製品を試してみるだろう。一般的な方法でPDFを使っているグループを選んで、代替製品に切り替えさせてみよう。そのグループの人たちに、テストをやっていることを知らせて、問題があれば教えてほしいと伝えておくように。問題がなければ、テストを拡大するといい。おそらく、グループごとに違うビュワーをテストして、どうなるかを調べることも可能だ。
あるいは問題が起きたときに、Adobeが修正してくれるのを黙って待つという手もある。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR