泥棒は銀行を襲うとき、数多くの顧客を抱え、多額の現金を保有している銀行を狙う。ITの世界においても同じで、攻撃者が狙うのはユーザ数の多い環境だ - 米Adobe Systemsにおいてプロダクトセキュリティおよびプライバシー担当のシニアディレクターを務めるBrad Arkin氏は日本の報道陣に向けたブリーフィングにて、こんな例えを持ち出した。そういう意味からすれば、全世界のデスクトップPCの約98%にインストールされているAdobe Flash PlayerやAdobe Readerは、まさに攻撃者にとっては金脈そのものであるに違いない。

今回、Arkin氏によるAdobe Systems製品のポリシー、とりわけAdobe Readerに関する最新セキュリティ対策の概要を聞く機会を得たので、これをもとにAdobeのセキュリティに対する方向性をレポートしたい。

ビデオ会議にて米国から日本の報道陣にむけて説明を行ってくれたBrad Arkin氏。Adobe社内でASSETとPSIRTの両チームを率いるセキュリティのエキスパート

全社的なセキュリティへの取り組み

大手ITベンダの義務として、Adobeもまたセキュリティおよびプライバシーに関しては「断固たる立場で顧客を攻撃から守る」(Arkin氏)と表明している。「Adobe Flash PlayerやAcrobat Readerは事実上、世界中すべてのデスクトップPCにインストールされており、リッチな機能や幅広い互換性も手伝って、攻撃者の格好のターゲットとなりやすい」とArkin氏。CEOからコードを書く一プログラマに至るまで、同社のすべての社員がセキュリティに関して強い意識をもっていると語る。

同社製品の新規開発は全部で85のステップから構成されるが、当然ながらセキュリティプランとともに進行する。設計段階からあらゆる脅威を想定し、脆弱性の確認、コードに対するセキュリティテスト、出荷後のアップデート管理や現状の脅威の分析など、製品ライフサイクルのすべてにセキュリティエコシステムが絡む。

Adobeは社内に大きく2つのセキュリティチームを抱えている。ひとつは"問題先取り型"でセキュリティを検証し、プロアクティブな活動を行うASSET(Adobe Secure Software Engineering Team)、もうひとつが現場で発生したインシデントへの対応やセキュリティ専門のリサーチャーとの意見交換を中心とするPSIRT(Product Security Incident Response Team)である。インシデントが未然で済むよう、全力を尽くすことはもちろん、不幸にしてインシデントが発生した場合でも、可能な限り迅速に対応することを掲げているが、その際、重要となるのは情報の透明性、つまりどの時点で判明してもすばやく行動できるよう情報の視認性と各メンバーの関与を高めておく必要があるとArkin氏は言う。

次のReaderにはサンドボックス - Adobe Reader Protected Mode

6月上旬、Adobe Flash PlayerおよびAdobe Reader/Acrobatに深刻な脆弱性が存在することが明らかになった事件は記憶に新しい。全世界で広く使われている現行バージョン(Flash Player 10系、Adobe Reader 9系)だっただけに、世の中に与えた衝撃以上にAdobe自身が相当深刻な問題として受けとめたようだ。もっともArkin氏は「Flashの脆弱性については、判明したのが6/4、そして6/10にはパッチを出すことができている。6日という期間でここまでできたことはかなり迅速な行動に分類されると思う」としている(ただし、Acrobatについては脆弱性を回避するパッチがリリースされたのは6月末)。

なおAdobeは8月5日(米国時間)、

• Adobe Reader 9.3.3 for Windows/Mac/UNIX
• Adobe Acrobat 9.3.3 for Windows/Mac
• Adobe Reader 8.2.3 for Windows/Mac
• Adobe Acrobat 8.2.3 for Windows/Mac

に関して、アップデートを8月16日週にリリースすると発表している。Acrobatのフォントパーシングの脆弱性を突いた攻撃を回避することが目的で、7月末に米国で行われたセキュリティ開発者による年次カンファレンス「Black Hat」での指摘を受けての"out-of-band-patch"リリース、つまり四半期ごとの定例のバッチ(四半期パッチチューズデイ)以外のアップデートとなる。ちなみに次の定例パッチのリリースは10月12日が予定されている。

Adobeとしてはとくに、デスクトップユーザの大半が利用しているWindows環境に脆弱性が拡がるのは何よりも避けたい。Flash PlayerやReaderの既存ランタイムのコード強化は随時行っており、パッチの配布もユーザのアップデートを迅速化するアップデータを使用している。また、Windows 7などの機能であるASLRやDEPといったサービスを使って、エンドユーザのセキュリティを担保している。今後はMicrosoftとの提携を深め、包括的なパッチの展開/配布、自動化などを勧めていく予定だ。

そしてさらに万全を期すため、AdobeはReaderの次回メジャーリリースである10.0のWindows版には、「Protected Mode」と称するサンドボックスを実装することを発表している。リリース時期は「年内には出したいが決定ではない」(Arkin氏)とのこと。

しくみとしては、基本的にすべてのwriteコールをサンドボックス化することで、ユーザのマシンに不正コードをインストールしたり、その他の方法でファイルシステムを改変しようとする攻撃リスクを軽減できるというものだ。つまり、Reader(ブラウザプラグイン含む)のコードはすべてサンドボックス内で実行される。外部からサンドボックスを超えた書き込み要求があった場合、その要求はいったんブローカープロセスに渡される。ブローカープロセスはポリシーに基づき、ファイルやレジストリ、起動プロセス、名前付き共有プロセスなどへのアクセス許可/不許可を判断する。これはすなわち、ReaderからOSに対して直接アクセスすることは不可能になるということだ。不正なコードはサンドボックス内に隔離されるため、システムへのコードインストールは防止される。このしくみにより、「バッファオーバーフローやメモリトレスパス攻撃、あるいは過去数年に起きたような攻撃はほぼすべて防ぐことができる」(Arkin氏)という。

10月にリリースされるReaderに実装されるサンドボックス(Adobe Reader Protected Mode)のしくみ

サンドボックスを実装することで、ユーザの使い勝手は「いっさい変わらない」とArkin氏。サンドボックスはデフォルトで有効に設定される。PDFはすべてサンドボックス内で処理され、画像のパーシング、JavaScript実行、3Dレンダリングなどもサンドボックス内に制限される。また、ブラウザのプラグインを使って開いたPDFファイルも、ブラウザやブラウザのトラストゾーンへの依存なしにReaderのプロセス内で実行されるという。

将来的には書き込み要求だけでなく、「読み込み(read only)だけでもサンドボックスに含み、マシンから機密情報を読み出そうとする攻撃からの保護を実現したい」(Arkin氏)としている。

この技術はMicrosoftのPractical Windows Sandboxing技術がベースとなっており、同じ技術をベースにした製品としてMicrosoft Office 2010(Protected View)、Microsoft Office 2007(MOICE)、Google Chromeのサンドボックスなどが挙げられる。

強化するのはMicrosoftとの関係だけで十分か?

サンドボックス技術を提供してもらったことからもわかるように、Adobeはここ最近、セキュリティ面におけるMicrosoftとの提携を深めている。

7月末、Adobeは米Microsoftが提供するセキュリティプログラム「Microsoft Active Protections Program (MAPP)」に今年秋から参加することを表明した。これによりAdobeはMicrosoftが提供するセキュリティ情報を共有することができるようになる。「セキュリティに関しての経験が豊富で、エキスパートが揃っているMicrosoftから情報提供を受けられるメリットは大きい。サンドボックス技術のように成熟したテクノロジを入手することができ、ゼロから対策を練るよりもずっと迅速に行動できる」とArkin氏。

もはや攻撃の脅威に対抗するには、製品ベンダが単独で攻撃者に相対していても効果は期待できない。Adobeはその第1のパートナーとしてMicrosoftを選んだようだ。もちろん、他のセキュリティベンダとの連携も積極的に進めているが、やはり大量のユーザを抱えるベンダどうしが協力し合うことの意義は大きい。「リアルな脅威はほとんどWindows上に存在する。したがってAdobe Reader Protected Modeに関してはWindowsプラットフォーム(XP/Vista/7)対応しか考えていない」(Arkin氏)

Microsoftとの提携は、Adobeがセキュリティ強化するためのベストアプローチ - Arkin氏はこう語った。だが気になるのは、Adobeも力を入れているモバイル環境、とりわけスマートフォン環境におけるセキュリティ対策だ。たしかに今ある脅威の多くがWindowsを対象にしていることはまぎれもない事実だが、言うまでもなく、モバイルデバイスの普及はPCのそれを上回る伸びを見せている。すでにAndroid上で動作するマルウェアも発見されており、ソフトウェアベンダしては放置しておけない状況のはずだ。今後、Adobeがこれらの潜在する脅威にどう対処していくつもりなのか、引き続き注目していきたい。