Google Chromeに脆弱性か、ユーザー追跡の不審なPDF発見

[鈴木聖子，ITmedia]

　セキュリティ企業のEdgeSpotは2月26日、米GoogleのWebブラウザ「Chrome」の未解決の脆弱性を突くPDFファイルが出回っているのを見つけたと伝えた。Google Chromeをローカルビューワとして使って問題のPDFファイルを開くと、そのユーザーの情報が、本人の知らないうちに外部に送られてしまう可能性があるとしている。

　EdgeSpotによると、問題のPDFは2018年12月ごろから大量に検出されるようになった。Adobe ReaderなどのPDF閲覧ソフトで開いた場合は不審な挙動は確認されなかったが、Google Chromeで開くと不審な上りトラフィックが検出され、調べた結果、ユーザー情報が密かに外部のドメインに送信されていることが分かったという。

Google Chromeをローカルビューワとして使って、問題のPDFファイルを開くと、ユーザーの情報が外部に送られてしまう可能性がある（出典：EdgeSpot）

　同社がサンプル調査したPDFファイルでは、ユーザーのIPアドレスやOS、Chromeのバージョン、ユーザーのローカルディスクに保存されているPDFファイルのパスといった情報が、ユーザーの許可なく外部に送信されていた。

　EdgeSpotでは2018年12月にこの問題をGoogleに報告し、Googleからは2019年2月14日、Chrome公式版で4月下旬にこの問題に対処すると告げられたという。

　しかし、EdgeSpotでは「この問題を突くPDFファイルが出回っているにもかかわらず、パッチの提供までまだ時間がかかることから、ユーザーには知らせた方がいいと判断して、パッチ公開を待たずに公表することにした」としている。