ブログご訪問ありがとうございます。

PDFファイルの正しい認識について

先週17日にアドビシステムズ社の Adobe Acrobat および Reader の脆弱性が発表され、Windowsの更新バッチが行われたと思います。
今回の脆弱性を悪用された場合、例えばPDF閲覧時にコードが走り（実行し）、プログラムが異常終了したり、パソコンの乗っ取りなどの可能性があり、様々な被害が発生する可能性があるようです。

とは言え普段から利用しているPDFファイルになぜそんな脆弱性が起きるのか、不思議に思われる方も多いと思います。と言うことで少しPDFについて掘り下げてみたいと思います。

そもそもPDFとは？
普段何気に使うPDFはその使い勝手の良さからビジネスの現場では多く使われ、WEB上でもプラグインの普及率が高いことから必須のアイテムとなっています。
Readerは無償で提供されていることも要因の一つでしょう。
主なユーザーの使われ方としては、「編集できないファイル」として、情報の閲覧やマニュアル等で多く利用されています。

しかし、実はPDFの仕様自体はそれだけではなく、例えばSubmitForm Actionと呼ばれる、PDFで入力した内容を指定されたURLへデータを送る機能があり、WEB上での申し込み用フォーマットとして昔はたまに見かけたりしました。この機能を利用し、PDFを正規サイトや正規サイトに見せかけたサイトに潜り込ませて、入力情報を取得するという事が行われました。
随分と単純な方法に聞こえますが、WEBの場合はリンク先にカーソルを合わせてURLを見ることでURLを踏まない対策が取れたりするので、比較的嘘を見破ることはできるのですが、PDFはどこかに送信先のURLが出ているわけでは無いので、知らない間に個人情報を送付するということができてしまいます。

しかし、これらのことは既知のため、最近ではPDFでの直接送信を促すサイトも少なくなってきており、特筆すべき脅威ではありませんが、本当の脅威はこういったアクションの実行をPDFができるということなのです。
例えばパソコン上の任意のアプリケーションを実行させることもできますし、WEBページを作るための標準言語である「Javascript」などの実行コードにも対応しているため、PDFを開いただけで悪意あるJavaScriptを実行させてマルウェアをインストールさせたり、コマンドプロンプトを実行させ、exeの実行を行わせたりといったことができてしまうわけです。

PDFの危険性
PDFによる被害を防ぐことが難しい要因として、PDFの利用が「文書の閲覧」のためにあるというユーザーの認識にあると考えます。
例えばメールでWord文書が来たらどうでしょうか？
すぐに開くことはないのではないでしょうか？
理由は昨今のセキュリティ意識の高まりから、情報部門より「Office製品にはマクロという機能があって、簡単にプログラムを実行することができる」と言うことを教えれらて、何となく怖いという感覚があるのではないでしょうか？

一方でPDFは「編集できない」事で「閲覧目的で送る」という事が多く、そもそもの目的自体がファイルを開けることを前提としているため、使う側もあまり意識せずにファイル操作をしまうのではないでしょうか？

しかし先述のようにPDFには「JavaScript」の実行ができ、「JavaScript」はWEB言語としては広く利用されており、その分多くのセキュリティ上の脅威と結び付けることが可能なのです。且つPDFの編集はテキストで行え、高い知識無く改ざん、暗号化、難読化などができてしまうことから、危険なものであるという認識を持っておく必要があります。

PDFファイル閲覧で行うべきこと
とは言えビジネスの現場でPDFは必要だと考える方は多いと思います。
ここに書いたことは何もPDFだけが特別ではなく、ネットでの危険性はどこかしらにあるものなので、正しい認識を持って利用すれば恐れることはありません。

アドビ社では脆弱性が見つかるたびに修正を行うためのバージョンアップを行います。アップデートは必ず行うようにし、常に最新版を使うということが大切です。

またその脆弱性の多くがJavaScriptを利用したものなので、Readerの「編集」→「環境設定」でJavaScriptを切っておくことでプログラムの実行を妨げ、幾分か防げる部分も増えてくると思います。

PDFに限ったことではありませんが、便利なものについては逆にその危険性も知っておくことが利用者の義務であり、普段から気を付けておくことが被害を防ぐことにつながる事を再認識していきましょう。