PDFウイルスがアダルトサイトでまん延、アップデート呼びかけ


 G Data Softwareは15日、PDF閲覧ソフト「Adobe Reader」およびPDF作成ソフト「Adobe Acrobat」の脆弱性を悪用してマルウェアに感染させるアダルトサイトが、6月以降急増しているとして注意喚起した。同社の調べでは100件以上発見され、潜在的には数倍の危険なサイトがあると推測している。

 これらのアダルトサイトはSEO対策が行われており、検索結果の上位に表示されるのが特徴。サイトのドメインについては、感染の恐れがあるとして具体的な名称は明らかにしていないが、「それらしい名前」が付けられているため、ユーザーがだまされやすくなっているという。

 G Dataによれば、これらのアダルトサイトでは、実際にはPDFファイルが表示されず、バックグラウンドに潜んでいると指摘。PDFの脆弱性を利用してユーザーにマルウェアを送り込むため、「PDFウイルス」と呼ばれているという。

 PDFウイルスは、Adobe ReaderおよびAdobe Acrobatの脆弱性を悪用するのが特徴だが、今回の攻撃ではPDFファイルが表示される必要はないとしている。ユーザーはサイトを閲覧した瞬間に、Adobe ReaderおよびAdobe Acrobatのプラグインが中国のサーバーに置かれたPDFファイルを読み込もうとして、実際にはウイルスがダウンロードされるという。

 G Dataでは、「PDFとしてのコンテンツが表示されなくても、バックグラウンドで感染してしまったPCは、いつの間にかボットネットに組み込まれるなどの被害がもたらされている」と説明する。

 また、Acrobatの脆弱性を悪用する攻撃の多くは、基本的に圧縮されて有害な機能が隠されていると指摘。JavaScriptを含むオブジェクトが解凍されると、シェルコードのエントリをばらまく「ヒープスプレー」という技法によって、暴走したプロセスを捕まえてシェルコードに導くことで、任意のプログラムを実行させているという。

 G Dataによれば、現時点でPDFウイルスによる攻撃はアダルトサイトに限られているというが、「攻撃が成功したとネット犯罪者たちが理解した場合には、近い将来、他のジャンルのサイトでも同様の攻撃がなされる可能性が高い」として、Adobe ReaderやAdobe Acrobatのアップデートの確認を呼びかけている。


関連情報

(増田 覚)

2009/6/15 17:30