Adobe Reader次期バージョンではサンドボックスを実装

アドビ「どうか古いバージョンを使うのはやめて」

2010/08/04

 アドビシステムズは8月4日、同社製品のセキュリティ対策に関する記者説明会を開催した。米アドビシステムズのプロダクトセキュリティおよびプライバシー担当シニアディレクター、ブラッド・アーキン氏は、テレビ会議を通して「攻撃者はユーザーが多いところを狙うもの。アドビの製品もインストールベースが高いことから、攻撃が増えている」とコメント。製品のセキュリティ改善やセキュリティベンダとの協業を通じて、安心、安全に使える環境を提供していきたいと述べた。

adobe01.jpg テレビ会議を通じて説明に当たった米アドビシステムズ プロダクトセキュリティおよびプライバシー担当シニアディレクター ブラッド・アーキン氏

 アーキン氏が認めるとおり、近年、アドビ製品が攻撃ターゲットになるケースが増えてきた。Adobe ReaderやAcrobat、あるいはFlashといった一連の製品は、単体のアプリケーションとしてだけでなく、プラグインの形で広く導入されている。そこが攻撃者の狙い目となり、脆弱性を付く攻撃コードが多数出現している。

 アドビではこれを踏まえ、四半期ごとに定期的にパッチを提供。ゼロデイ攻撃などが認められた際には緊急でパッチリリースする仕組みとしている。また2010年4月からは、Adobe Reader/Acrobatに自動的にパッチを提供するアップデータ機能を実装した。同時に、設計、開発、テストおよび出荷後に至るまで、製品ライフサイクルの各段階にセキュリティを統合し、よりセキュリティを高めていくという。

 アーキン氏によると、さらに、マイクロソフトのシステム管理製品「Microsoft System Center Configuration Manager(SCCM)」および「Microsoft System Center Updates Publisher(SCUP)」を活用して、企業内でのアップデートと管理を支援することも計画しているという。

バージョン10で実装、サンドボックス

 アーキン氏は、アドビが7月20日に明らかにしたAdobe Readerのサンドボックス機能についても解説した。この「Protected Mode」は、マイクロソフトのPractical Windows Sandbox技術を活用したもので、2010年内にリリース予定の次期バージョン、Adobe Reader for Windows 10で実装される計画だ。

 「現状での問題は、攻撃コードがAdobe Readerと同じ権限でシステムにアクセスできてしまうこと」(アーキン氏)。そこでProtected Modeでは、Adobe Readerおよびそのプラグインを保護された環境で制限付きで実行し、OS本体へのファイル書き込みやレジストリ変更、プロセス起動といった操作を直接行えないようにする。

 ただ、このままでは、ユーザーが意図した正当な操作までもが行えなくなる可能性がある。そこでProtected Modeでは、アクションを直接実行する代わりに、間に「ブローカープロセス」を置いている。このブローカープロセスが、定められたポリシーと照らし合わせ、処理を許可するかどうかを判断する仕組みだ。「攻撃コードはブローカープロセスによって拒否されるため、OSにはアクセスできない」(アーキン氏)という。

adobe02.jpg

 Protected ModeはWindows XP以降のWindows OSで動作し、メモリエラーを悪用するタイプの攻撃コードの実行をほぼ食い止めるという。当初は「書き込み」コールのみをサンドボックス化し、攻撃コードの実行やシステム改ざんを防ぐが、次のフェーズでは読み込みについても同様の保護環境に入れ、機密情報の漏えいに役立てたいとしている。

 一方Flashについては、プライベートブラウジングモードのサポートに加え、ドイツのRecurity Labsが開発を進めているオープンソースソフトウェア「Blitzableiter」などを通じてセキュリティを強化する方針だ。Blitzableiterは、Flashファイルに不審なコードが含まれていないかどうかをチェックし、もしそうしたものが含まれていれば当該部分のみを削除して、クリーンなFlashファイルのみを再生するツールで、現在プロトタイプが動作しているという。

 アドビはまた7月28日に、マイクロソフトが複数のセキュリティベンダとともに進めている「Microsoft Active Protections Program」(MAPP)に参加することも発表した。MAPPは、参加しているパートナーとの間で脆弱性に関する情報を共有することにより、迅速にシグネチャなどのデータを提供し、ユーザーを先回りして保護できるよう支援する枠組みだ。アドビは2010年秋からこのプログラムに参加し、脆弱性情報を共有していく計画だ。「自力で新しく構築するよりも、すでにうまく動いている仕組みに参加することにした」(アーキン氏)という。

 ただ、いくらサンドボックス機能が追加されようと、フィッシング詐欺をはじめとするソーシャルエンジニアリングを悪用した攻撃までは防げるわけではない。また、そもそもサポート期間の終了した古いアプリケーションのままでは、保護の範囲外だ。「どうかバージョン5や6といった古いバージョンを使うのはやめて、最新のバージョン9にアップデートしてほしい」(アーキン氏)。またその際、ソフトウェアのシグネチャを確認し、確実にアドビから提供されているものかどうかを検証して欲しいとしている。

関連リンク

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH