防衛産業などを狙う標的型攻撃メールを検出、Adobe Readerの未解決の脆弱性悪用

[鈴木聖子，ITmedia]

　Adobe ReaderとAcrobatに未解決の脆弱性が発覚した問題で、米Symantecは12月7日、この脆弱性を突いたPDFが防衛産業や化学会社などを狙った標的型攻撃に利用されていると伝えた。攻撃者がシステムに不正侵入するための裏口となる「バックドア」を仕込む狙いがあったとみられる。

　脆弱性は米Adobe Systemsが6日に公開したセキュリティ情報で明らかにしたもので、ReaderとAcrobatの3Dエンジンの問題に起因する。Symantecではこの問題を突いた標的型攻撃メールが11月1日と5日に送信されていたと報告。さらに12月1日に5通、5日に16通を検出したとしている。メールはいずれも無料のWebメールから送信され、攻撃者に制御された米国内のマシンが使われている様子だという。

　攻撃メールは特定の政府機関から届いたように見せかけてあり、その機関の契約受注に関する新しいガイドラインと称して「FY12 Contract Guide」という名称のPDFファイルが添付されていた。標的となった企業は防衛産業のほか、化学会社やメーカーなどが多かったという。

　添付のPDFファイルには脆弱性悪用コードが仕込まれ、ファイルを開くと「Sykipot」というバックドアに感染させる仕組みになっていた。悪用コードはAdobe Reader 9.xに対しては通用したが、10.0以降のAdobe Reader Xに対しては通用しなかったという。Sykipotは2010年1月に出現したマルウェアで、これまでにも未解決の脆弱性と組み合わせて利用されたことがあったSymantecは伝えている。

　同社はこの攻撃に使われた不正なPDF文書を「Pidief」と命名、同社の製品でトロイの木馬として検出できるようにした。