Internet Security - Trend Micro

不正に細工されたファイルを開かせることでマルウェアに感染させたり、不正処理の実行、アプリケーションの終了、任意のコードの実行など好ましくない動作へ導く手法はますます複雑化している。こうしたセキュリティ上の懸念に対してはソフトウェアを常に最新版へアップグレードすること、セキュリティ対策ソフトウェアを導入すること、そしてユーザそのものがこうした状況を学び、自ら危険な行為を避けるようにすることといった複合的な対策が必要になる。

しかし日々の業務の利便性などが優先されることが多く、送られてくるメールに添付されてくるファイルをなにも考えずに開くといったことは少なくない。そもそもなぜ文書ファイルを開くことでマルウェアに感染したり、バックドアが仕込まれてしまうのか、そういった仕組みがわからない限り危険性に対する心理的な関心は時間とともに薄れてしまう。

トレンドマイクロセキュリティブログに掲載された記事「徹底検証:不正なPDFファイルが利用する検出回避手法について」は、そうした攻撃の危険性を知る上で役に立つ。こうした不正処理に利用されることが多いファイル形式のひとつがPDF文書だが、なぜ不正なPDFが危険なのかが説明されている。

PDFは内部にJavaScriptを持つことができる。PDFドキュメントを閲覧するということはJavaScriptを実行するという処理と同じということになる。つまり、これまでJavaScriptで実現されてきた難読化やセキュリティソフトウェアによる検出回避の方法、脆弱性を突く手法などがそのままPDF文書に対しても適用できることを意味している。

記事で説明されているように、PDF文書に仕込まれる悪意あるJavaScriptコードはさまざまな方法を駆使してセキュリティソフトウェアからの検出を回避するテクニックを導入している。あるPDFビューアでは問題が発生しなくても別のPDFビューアでは問題がでるなら、さまざまな工夫が凝らされている。