昨年、「The Fight Against Malicious PDFs Using the ASCII85Decode Filter(ASCII85Decode フィルタを利用する悪質な PDF との闘い)」というタイトルで、ASCII85Decode フィルタを利用して自身を隠蔽する脅威についてのブログエントリを執筆しました。それ以降 Adobe Reader には、最近のゼロデイ脆弱性をはじめとして、いくつかの脆弱性が見つかっていますが、攻撃者は直接的な悪用だけでなく、ソーシャルエンジニアリングも利用する傾向があります。その理由を私はこう考えています。ソフトウェアの脆弱性はパッチで比較的簡単に修正できますが、ソーシャルエンジニアリングの場合は私たち(潜在的な被害者)がその危険性を理解し認識する必要があり、それが容易ではないからだと。 つい最近では、PDF ファイルを「コンテナ」ファイルとして利用するソーシャルエンジニアリング手法も確認されています。PDF によるこの脅威は、添付ファイルとして 7-Zip ファイルを含み、その 7-Zip ファイルを開くようにユーザーを誘導するメッセージダイアログを表示します。ユーザーが使っている PDF リーダーのバージョンに応じて JavaScript でメッセージダイアログを切り替える機能もあります。Adobe Reader バージョン 6 でこの脅威を開くと、以下のような中国語のメッセージが表示されます。 ざっと翻訳すると、「このメッセージにはファイルが添付されています。添付ファイルを読むには、[ファイル]->[添付]を選択してください」という意味です。このメッセージに従ってクリックすると、次のような添付ファイルが表示されます。 また、この脅威を Adobe Reader バージョン 7 以降で開いた場合には、次のような画面が表示されます。 実際には、この 7-Zip ファイルに悪質なファイルが含まれており、シマンテックはこれを Downloader として検出します。これは Adobe ソフトウェアの脆弱性ではないのですが、このソーシャルエンジニアリングに引っかかると(メッセージを信頼して添付ファイルを開くと)、ユーザーのコンピュータで Downloader が実行されてしまいます。ここで使われているソーシャルエンジニアリング手法は、新しいものではありません。これまでにも、MS Word、Excel、PowerPoint などさまざまな文書ファイルが、コンテナとして利用されてきました。 いつものように、不明な送信者から送信された添付ファイルには十分に注意してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。