アドビ、Adobe Readerに秋実装予定の「サンドボックス」機能を説明

「脆弱性悪用は100%防げる」と米担当者


米Adobe プロダクトセキュリティ・プライバシー担当シニアディレクターのブラッド・アーキン氏

 アドビシステムズ株式会社(アドビ)は4日、同社製品のセキュリティに関する記者説明会を開催。米Adobe プロダクトセキュリティ・プライバシー担当シニアディレクターのブラッド・アーキン氏が、テレビ会議にて「Adobe Reader 10」に実装予定の「サンドボックス」機能などについて説明した。

Adobeのセキュリティの取り組み

 同氏はまず、「Adobe製品はほとんどのPCにインストールされているため、攻撃の対象になることが多い。攻撃から保護するために当社は確固たる立場を築かなくてはならず、各業界と密な連携をとりながら製品のセキュア化に取り組んでいる」とコメント。研究者との協力、主要なセキュリティベンダーとの提携、SafeCodeへの加入などを進めていると紹介したあと、同社の開発プロセス「Secure Product Lifecycle(SPLC)」などの取り組みも説明した。

 SPLCでは、「新規開発時のセキュリティプラン立案、脅威のモデリング、脆弱性スキャン、出荷後のインシデント対応など85のステップをクリアすることで、製品のセキュリティを高めている」(同氏)という。

 また専用のセキュリティリソースとして「ASSET(Adobe Secure Software Engineering Team)」と「PSIRT(Product Security Incident Response Team)」の2つのチームを保有しており、「問題先取り型のセキュリティ検証やインシデント対応、セキュリティ研究者とのコミュニケーション管理などのミッションに取り組んでいる」(同氏)とした。

SPLCの概要。85のステップでセキュリティを確保「ASSET」と「PSIRT」の2チームを保有

Acrobat/Readerのセキュリティランタイム

ここ最近のセキュリティアップデートの実績

 次にAdobe Acrobat/Readerのセキュリティランタイムを紹介。サポート対象バージョンの脆弱性について問題先取り型で評価・是正を行い、エンドユーザーのセキュリティについては「ASLR(Address Space Layout Randomization)」や「DEP(Data Execution Prevention)」など、Windows Vista/7のサービスを活用して高度なアプローチを採用。加えて、四半期ごとの「パッチ・チューズディ」モデルにより、時期が予測可能なアップデートを提供しているなど、パッチ適用に関する取り組みも説明した。

 パッチ適用については、ハードウェア・ソフトウェアの構成・資産管理、セキュリティ監査、更新プログラムの一元管理などが実行できる、Microsoftの構成管理ソフト「SCCM(System Center Configuration Manager)」をサポートし、「SCUP(System Center Updates Publisher)」を活用することで、更新の自動化に向けた取り組みも予定している。以上のように、同社の製品セキュリティでは、Microsoftとの協業が基本路線となっている。

「脆弱性悪用を100%防ぐ」と自信を見せるサンドボックス機能

 その中でも特筆すべきは、2010年内にリリースが予定される「Adobe Reader 10 for Windows」に組み込まれる「サンドボックス」機能だ。米国では「Protected Mode」という正式名称で7月に発表された。

 同機能では、Adobe Readerの特定の機能を除いて、アプリケーションを保護された環境内で実行するための仕組みを提供。例としては、ファイルのインストールや削除、システム情報の改変などを不許可とする。保護された領域内でプログラムを動作させ、その外へ悪影響が及ぶのを防止するサンドボックスを形成する。

 ベースとなっているのは、Microsoftの「Practical Windows Sandboxing」という技術。Office 2007/2010には、すでに「MOICE(Microsoft Office Isolated Conversion Environment)」や「Protected View」の名称で採用されている。

 Protected Modeにより、Adobe Readerとそのプラグインのコードはすべてサンドボックス内で実行されるようになり、Adobe Readerからファイル、レジストリ、プロセスに直接アクセスできなくなる。Webブラウザ内で開いたPDFファイルも、Webブラウザのトラストゾーンなどに依存することなく、Adobe Readerのプロセス内で実行させることが可能だ。

 ファイルへの書き込みなどサンドボックス外のリソースにアクセスする必要がある際には、その要求を「ブローカープロセス」を中継させる。同プロセスはすべての権限を持つ一方、ファイル、レジストリ、プロセスへのアクセスに関する厳密な許可/不許可ポリシーを持っており、それに基づいて危険な機能へのアクセスを防止する。

通常の処理環境【左】とサンドボックス化された処理環境【右】の比較

Protected ModeはAdobe Reader 10でデフォルト有効となるファイルへの書き込みを行った場合の仕組み。サンドボックスからのファイル作成要求はカーネルに拒否される。ブローカープロセスを介した場合のみ要求が通る

 Adobe Reader 10でデフォルト有効となる同機能だが、実装は段階的に行われる予定。「第一フェーズで書き込みコールをサンドボックス化し、ユーザーのPCに不正コードがインストールされたり、ファイルシステムを改変されたりするリスクを軽減する。将来的には、読み込みだけの場合もサンドボックスに含み、機密情報を読み出すような攻撃からも保護する」(同氏)としている。

 また、ユーザビリティにも気を払ったと説明。「レビューでは95%のユーザーが、何か特別な機能が動いているとは感じなかった」と、パフォーマンスへの影響も軽微である点を紹介した。

 アーキン氏は「(Protected Modeにより)脆弱性を悪用した攻撃は100%防げる」と自信を見せる。「バッファオーバーフロー、ピープオーバーフロー、メモリエラーに起因する『Memory Trespass Attack(メモリ侵入攻撃)』は、完全にサンドボックス内に閉じ込められる」という。ただし「仕組み上、フィッシングやクリックジャックなどのソーシャルエンジニアリング攻撃は防げない」。

Microsoftのセキュリティベンダー向けプログラムに参加

 Adobeはこのほか、秋から「MAPP(Microsoft Active Protections Program)」にも参加する予定。MAPPは、Microsoftが自社のセキュリティアップデート情報をセキュリティベンダーに開示する取り組みで、脆弱性の情報をいち早く共有することで、セキュリティベンダーの対応を迅速化させるのが目的。このMAPPから今後、Adobe製品に関するセキュリティ情報も配信されるようになる。

 「同プログラムにはすでにグローバルで65社が参加。関連するエンドユーザーの数は10億人近くに及ぶ。セキュリティに関してはセキュリティベンダーとのコラボが重要だ。その際に一番良い取り組みは、Microsoftとの活動をもっと増やしていくこと」(同氏)と考え、今後も両社間で密な連携を図っていく方針だ。


関連情報

(川島 弘之)

2010/8/4 14:50