この攻撃の背景

"Adobe Reader" および "Adobe Acrobat" の深刻な脆弱性を利用した一連の攻撃が、「HYDRAQ」ファミリとほぼ時期を同じくして確認されました。

今回の攻撃は、広く利用されているAdobeのソフトウェア、特に "Adobe PDF Reader" が悪用されたことから、ユーザの関心も高まりました。

この攻撃は、Adobeが2009年12月に公表した脆弱性「CVE-2009-4324」を悪用します。この脆弱性により、ユーザがJavaScriptの有効化されたコンピュータで不正なPDFファイルを開いてしまうと、この不正なPDFファイルが難読化されたJavaScriptコードを読み込むことができるようになります。

この脅威は、どのような攻撃をユーザに仕掛けますか?

この脅威は、ユーザがスパムメールを受信するか、または、悪意のあるWebサイトからユーザが誤って特別に細工されたPDFファイルをダウンロードすることにより、コンピュータに侵入します。サイバー犯罪者は、この特別に細工されたPDFファイルを用い、"Adobe Reader" および "Adobe Acrobat" のソフトウェアに存在する脆弱性CVE-2009-4324を利用します。これにより、不正リモートユーザが、脆弱性を抱えたコンピュータ上で、不正なPDFファイルに組み込まれた不正なコードを実行することが可能になります。また、この脆弱性を利用することで、感染コンピュータ内に他のマルウェアを作成し、リモートサイトに接続することも可能になります。

上記の図は、この脆弱性を悪用する最新の攻撃事例2件について説明しており、この2件とも、2009年12月にAdobeがセキュリティ情報を公開した後に発生しています。これらの攻撃ではCVE-2009-4324を利用し、Webサイトにアクセスした後、感染コンピュータ内に他のマルウェアをダウンロードします。

この攻撃で確認されたマルウェアの検出名はなんですか?

この脆弱性を悪用する攻撃のうち、最初の2件は、Adobeがセキュリティアップデートを公開する前の2009年12月および2010年1月初旬に発生しています。この2件のうち最初のゼロデイ攻撃は、ユーザを「TROJ_PIDIEF.PGT」、「TROJ_PIDIEF.PGS」、および「TROJ_PIDIEF.PGU」として検出される不正なPDFファイルへと導きました。2件目のゼロデイ攻撃は、セキュリティアップデートが公開される数日前に発生し、「TROJ_PIDIEF.WIA」として検出される不正なPDFファイルへとユーザを導きました。このマルウェアは、この脆弱性を悪用し、「BKDR_POISON.UC」を作成します。セキュリティアップデートが公開された後の最も最近の攻撃は、ユーザを「TROJ_PIDIEFX.F」および「TROJ_PIDIEF.SHK」として検出される2つの不正なPDFファイルへと導いています。

なぜこの攻撃はNoteworthyに分類されたのですか?

Adobeは、既に1月12日にセキュリティアップデートを公開し、プラグイン "Multimedia.api" に存在する、解放済みのメモリ領域を使用する脆弱性を解消済みです。この脆弱性の悪用により、不正なリモートコードが実行される可能性がありました。しかし、ユーザがAdobeの最新の修正パッチを適用し、コンピュータを更新するまでは、多くのコンピュータが依然としてこの脆弱性の危険にさらされることになります。また、この脅威では、PDFファイルに難読化されたJavaScriptコードを組み込むという、より洗練された手口が用いられている点も注目に値します。比較的小さなサイズのコードが検出を困難にし、感染コンピュータの数を増加させたと考えられます。

特にどのようなユーザが危険にさらされますか?

特にWeb上で、不正なPDFファイルを用いた感染拡大の手口が増加していることを考慮すると、修正パッチの適用されていない"Adobe Reader 9.2" および "Adobe Acrobat 9.2" およびそれ以前のバージョンをご利用のすべてのユーザは、危険にさらされています。さらに、この攻撃において、不正なJavaScriptコードが極めて重要な役割を果たしていることから、JavaScriptの使用が有効化されたコンピュータは、悪用される可能性が高くなります。

コンピュータを攻撃から守るにはどうすればいいのですか?

まず、この攻撃を防ぐためには、"Adobe Reader" および "Adobe Acrobat" の修正パッチを適用することが重要です。これにより、ユーザのコンピュータ上に存在する他のアプリケーションが悪用されることも防ぐことができます。また、Adobeは、ユーザの介入がなくても自動的に修正パッチを適用する自動アップデータ(サイレントアップデータ)の公開を予定しています。これは、すでに修正パッチ公開済みの脆弱性を悪用する攻撃から、被害者となるユーザを減らすことを目的としています。

また、PDFファイルを開く時は常に注意することも重要です。特に、不明な送信者からのEメールに添付されたPDFファイルや、WebサイトからダウンロードされるPDFファイルには注意が必要です。

トレンドマイクロでは、特別に細工されたPDFファイルとして侵入するマルウェアが著しく増加していることを確認しています。ユーザは、コンピュータ上での難読化JavaScriptコードの実行を避けるためにも、ブラウザのJavaScript機能を無効にすることも検討すべきです。トレンドマイクロ製品をご利用のユーザは、IDFパターン9037を適用することで、これらの脅威から保護されます。

関連マルウェア