ラジオ関西やJR東日本のWebサイトが被害を受けた新手のサイト改ざんで、Adobe Readerの未修整の脆弱性を狙う攻撃コードが使われていることが編集部の調べで分かった。
修正版の提供は来月13日まで待たなければならないので、それまでの間は、Adobe Reaederを一時アンインスールするか他の互換ビューワーに切り替える、もしくは、以下の手順でAdobe ReaderのJavaScriptを無効にする緩和策を実施していただきたい。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
これに加え、ウイルス対策ソフトの定義ファイル(パターンファイル)を最新の状態にしてリアルタイムの監視をさせる、信頼できるPDFファイル以外は開かないといった、基本的な対策も合わせて実施していただきたい。
今回、見つかったゼロデイコードは、「/*GNU GPL*/」や「/*CODE1*/」で始まるサイト改ざんの誘導先に仕掛けられていたもの。この攻撃では、マイクロソフトのMDAC(Microsoft Data Access Components)、Snapshot Viewer、Microsoft Video Control、Adobe Reader、JRE(Java Runtime Environment:Java実行環境)の脆弱性攻撃を仕掛け、ウイルス本体をインストールしようとする。
Adobe Readerの脆弱性攻撃は、「ChangeLog.pdf」というPDFファイルの中に複数の攻撃コードが組み込まれており、パソコンにAdobe Readerがインストールされている場合には、この細工されたPDFファイルを自動的に開いて攻撃を行う。
ラジオ関西「アニたまどっとコム」が改ざんされていた16日朝に取得したPDFファイルには、修正済みの脆弱性を攻撃するコードしか含まれていなかったため、Adobe Readerが最新版であればウイルス本体が実行されることはなかった。
編集部が24日未明に取得したPDFファイルを調べたところ、現行版ではゼロデイ状態のnewPlayer()メソッドの脆弱性を突くコードが新たに組み込まれていた。この攻撃は、Adobe Reader内のJavaScriptを使って行うものなので、前述のようにAcrobat JavaScriptを無効にしていれば自動実行を回避できる。この攻撃コードが、16日~24日の間のどの時点で実装されるようになったのかは分からない。
新たなサイト改ざんとゼロデイ攻撃の拡大を受けて、IPAやJPCERT/CCは24日、緊急対策情報を公開し注意を呼び掛けた。JPCERT/CCでも当該脆弱性の悪用を確認しているという。
(2009/12/25 ネットセキュリティニュース)
■ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起(IPA)
http://www.ipa.go.jp/security/topics/20091224.html
■Web サイト経由でのマルウエア感染拡大に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2009/at090023.txt
■Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2009/at090027.txt