「標的型攻撃が主流に」と言われるようになってから,随分時間が経ったように思う。それでも,いまだに決め手となる解決策が浮かび上がってこない。その一方で,日本でも被害はじわじわと広がっているようだ。

 中でも最近話題なのが,PDFファイルを悪用した攻撃である。攻撃手法としては決して新しいものではない。ただ,PDFドキュメントにはいくつかのセキュリティ上の問題があり,攻撃パターンが何通りもあるため注目されている。

 PDFドキュメントが悪用されてしまう要因は,主に次の3点が挙げられる。
(1)PDFファイルは自由度の高い仕様となっている
(2)コード内の不正個所を特定することが難しい
(3)ビジネス文書として一般的

 一見するとバイナリ・ファイルのように見えるPDFドキュメントは,テキスト・エディタでも内容を閲覧できる。その内容は図1のように「ヘッダー」,「オブジェクト」,「クロスリファレンス」,「トレーラ」で構成されている。

図1●PDFファイルのフォーマット
[画像のクリックで拡大表示]

 このうち何かと問題になるのが「オブジェクト」である。この部分にコンテンツやアクションの設定が記載されるからだ。

古い攻撃だが防げない

 本コラム(2007年11月15日号)でも紹介したが,PDFウイルスの多くは,Acrobat JavaScriptを利用する。昨年話題になったTrojan.Pidief.Aは,Acrobat JavaScriptとAcrobatのぜい弱性を悪用した典型的なPDFウイルスだった。このPDFウイルスは,データが暗号化されていないため内容を確認しやすい。手を加えたサンプルを紹介しよう(図2)。

図2●PDFウイルス「Trojan.Pidief.A」の中身
[画像のクリックで拡大表示]

 図2を見ると,オブジェクト領域に/windows/system32/cmd“.exe”という文字列がある。cmd.exeを利用し,外部から不正プログラムをダウンロードさせようとしている。ためしに,このPDFドキュメントをVirusTotalでチェックしてみた。VirusTotalは多数のウイルス対策エンジンでファイルのウイルス・チェックを実行し,検出率を測る無料サービスである。結果は25/32(78.13%)で,多くのウイルス対策ソフトで検出できた。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら