PDF エクスプロイト
PDF エクスプロイト とは何ですか?
PDF エクスプロイト細工された PDF が、パーサーの不具合、埋め込み JavaScript、フォント、外部アクションなどを悪用し、PDF ビューア上でコード実行やデータ窃取を行う攻撃。
PDF エクスプロイトは、PDF が持つ多彩な機能(埋め込み JavaScript、OpenAction トリガ、GoToE/GoToR リモート URL、EMF/JBIG2/JPX 画像パーサー、XFA フォーム、U3D 3D ストリーム、フォントハンドラなど)を悪用して PDF ビューアを攻撃するものです。歴史的に Adobe Acrobat Reader が頻繁な標的となり(CVE-2009-1492、CVE-2018-4990、CVE-2023-21608 など)、Foxit、Chrome の PDFium、macOS の Preview にも重大な脆弱性が報告されています。現代の PDF エクスプロイトは、メモリ破壊による RCE、自動 URL アクセスによる NTLM ハッシュ漏洩、ドライブバイダウンロードのトリガなどを実現します。対策には、パッチ適用、JavaScript の無効化、サンドボックス対応ビューアの利用、メールゲートウェイでの解析があります。
● 例
- 01
埋め込み JavaScript で Adobe Reader にヒープオーバーフローを誘発する PDF(CVE-2018-4990)。
- 02
GoToR アクションで UNC パスにアクセスさせ NTLM ハッシュを漏洩させる PDF。
● よくある質問
PDF エクスプロイト とは何ですか?
細工された PDF が、パーサーの不具合、埋め込み JavaScript、フォント、外部アクションなどを悪用し、PDF ビューア上でコード実行やデータ窃取を行う攻撃。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
PDF エクスプロイト とはどういう意味ですか?
細工された PDF が、パーサーの不具合、埋め込み JavaScript、フォント、外部アクションなどを悪用し、PDF ビューア上でコード実行やデータ窃取を行う攻撃。
PDF エクスプロイト はどのように機能しますか?
PDF エクスプロイトは、PDF が持つ多彩な機能(埋め込み JavaScript、OpenAction トリガ、GoToE/GoToR リモート URL、EMF/JBIG2/JPX 画像パーサー、XFA フォーム、U3D 3D ストリーム、フォントハンドラなど)を悪用して PDF ビューアを攻撃するものです。歴史的に Adobe Acrobat Reader が頻繁な標的となり(CVE-2009-1492、CVE-2018-4990、CVE-2023-21608 など)、Foxit、Chrome の PDFium、macOS の Preview にも重大な脆弱性が報告されています。現代の PDF エクスプロイトは、メモリ破壊による RCE、自動 URL アクセスによる NTLM ハッシュ漏洩、ドライブバイダウンロードのトリガなどを実現します。対策には、パッチ適用、JavaScript の無効化、サンドボックス対応ビューアの利用、メールゲートウェイでの解析があります。
PDF エクスプロイト からどのように防御しますか?
PDF エクスプロイト に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
PDF エクスプロイト の別名は何ですか?
一般的な別名: 悪意のある PDF, PDF を用いた攻撃。
● 関連用語
- attacks№ 360
ドライブバイダウンロード
侵害された、または悪意のあるウェブサイトを訪れるだけで、利用者の端末にマルウェアが密かにインストールされる攻撃。
- attacks№ 195
コードインジェクション
攻撃者が与えたデータがアプリケーションによってコードとして解釈・実行される脆弱性の総称。任意コード実行に直結する。
- attacks№ 821
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
- appsec№ 129
ブラウザサンドボックス
OS レベルの分離層で、ブラウザのレンダラーやヘルパープロセスを閉じ込め、侵害された Web コードがファイルシステムや他アプリへアクセスできないようにする。
- vulnerabilities№ 667
メモリ破壊
プログラムが意図したメモリ境界の外に書き込み、型安全性・制御フロー・データ整合性を損なうタイプの脆弱性を総称する用語。