PDF のセキュリティを明らかにする:インタラクティブなドキュメントの背後に隠れたリスク

PDF のセキュリティ - コインの裏返し

更新日:2010 年 2 月 15 日

PDF のセキュリティというと、かなり曖昧なトピックのように思えます。そして、そうです。大多数のコンピュータ ユーザーにとって、PDF ドキュメントは単なる情報媒体です。残念ながら、それらはそれ以上のものになってしまいました。

PDF ドキュメントは、スクリプトなどがロードされたインタラクティブなアプレットになるまで進化しており、これらはすべてユーザー エクスペリエンスを大幅に向上させますが、誤用すると潜在的な問題を引き起こす可能性があります。人気の PDF ソフトウェアと結びついて、頻繁に標的にされて悪用されると、PDF ドキュメントを開くとセキュリティ上の問題になる可能性があります。

前回の記事で PDF の脆弱性と考えられる緩和策について説明しました。実を言うと、事前に考えておけば、トラブルは非常に簡単に回避できます。権限を減らしてオペレーティング システムを実行し、代替プログラムを使用し、信頼できる情報源を利用すれば問題はありません。本当に、パニックはありません。実際、前回の記事の後で、なぜこの記事を書こうと思ったのか疑問に思われるかもしれません。

さて、今日は PDF のセキュリティについて別の角度から紹介したいと思います。最初の記事で説明したメソッドはすべて、常に有効に機能する一般的なデフォルト拒否テクニックですが、手元のファイルについては何も教えてくれません。言い換えれば、私たちは知らないうちに「悪い」ファイルを扱っている可能性があります。システムにリスクは存在しないかもしれませんが、ソーシャル エンジニアリングが排除されるわけではありません。さらに、適切に構成されたシステムを使用している場合は、どのファイルを使用したり開いたりするかは気にしませんが、無知な同僚に悪質なファイルを転送した場合はどうなるでしょうか?以下に例を示します。 Linux ユーザー。システム上でどのファイルを開いて使用するかをあまり気にする必要はありませんが、感染している可能性のあるファイルを Windows の友人に転送すると、恥ずかしい瞬間がいくつか発生する可能性があります。

最善の解決策は友人を持たないことです。そうすれば、誰にも悪い内容を転送することはなくなりますが、人々には友人がいる傾向があるため、PDF ソフトウェアに対するより分析的なアプローチについて説明します。今日紹介した内容は、最初の記事で学んだ教訓に代わるものではありません。それはそれらを補完します - まあ。

始めましょう。

健全な使用方法

私の記事「セーフウェブの実践」では、平均的なユーザーがダウンロードして実行したいファイルの品質レベルを分析するために導入できるいくつかの方法を概説しました。彼らはオンラインのマルチスキャナを中心に展開し、フォーラムや楽しいグーグル検索で助けを求めます。これは決して物事を処理する完璧な方法ではありませんが、残念ながら、それが唯一の方法である場合もあります。誰かがファイルを実行したいときは、それを実行します。最善の策は、ファイルを実行する前に、いくつかのおざなりなチェックを行うように説得することです。

あらゆる種類のスキャンにおける大きな問題は、ファイルに不良のフラグが立てられる可能性があることです。ただし、ファイルに良好なフラグを付けることはできません。多くの人はこれを理解していません。代わりに、彼らはウイルス対策がすべてに対する最も神聖な解決策であると誓っています。この点を強調したいのは、ウイルス対策ソフトがファイルに悪質なフラグを立てた場合、それはすべての悪の中では小さいということです。疑問があるときは、疑いはありません。しかし、このソフトウェアがファイルにクリーンのフラグを立てたらどうなるでしょうか?きれいですか？いいえ。これは単に、悪いというフラグが立てられなかったことを意味します。以上です。

これが、ホワイトリスト登録 (またはデフォルト拒否) アプローチが、あらゆる種類の脅威に対処する最良の方法である理由です。選ばれた少数の友人を除いて、全員が敵です。あなたはすべてを悪いものとして扱い、ゆっくりと慎重に選択した部分を信頼の輪に入れます。

私の PDF の脆弱性に関する記事はすべてホワイトリストに関するものでした。ホワイトリスト登録の問題は、存在するかどうかわからない問題にまったく気づいていないことです。あなたは他の人を苦しめるかもしれないどんな苦悩にも気づかず、幸せそうに通り過ぎます。

ここでブラックリストが登場します。デフォルト許可としても知られるブラックリストは、不正なもののデータベースを長期間保持し、リストを定期的に更新する方法です。次に、ウイルス対策スキャナなどのツールがこれらのデータベースを使用して、悪意のあるコードを特定しようとします。実行可能コードに対して署名検出パターンを実行し、ユーザーに報告します。やり方はむしろドンキホーテ的ですが、それが常態化しており、それが常態である限り、人は言われたことは何でもやります。

ブラックリストは法執行機関のようなものです。ほとんどの人は有罪と証明されるまで無罪とみなされます。ホワイトリストは 1984 年に似ています。もしよろしければ、このトピックに関するかなり哲学的な記事を読むこともできます。

ソフトウェアの世界ではホワイトリスト化が有利ですが、社会においてもそれはそれほど悪いことではありません。ブラックリスト登録はかなり効果がありません。ただし、この 2 つを組み合わせると、非常に興味深い結果が得られます。ホワイトリストの冷たいケーキの上にブラックリストのチェリーをトッピングすると、非常に便利な公式が得られます。

ホワイトリストに登録すると幸せになります。ブラックリストに登録すると、友達が幸せになります。マシンを良好な状態に保ち、他の人に迷惑メールを送信することを避け、スパムやマルウェアのサイクルを短縮します。それはスーパーマンになって、他の人のために豚インフルエンザのワクチンをテストするようなものです。

PDF の脆弱性

これらについては以前に詳しく説明しました。このテーマに関する私の記事をぜひご覧ください。最も一般的な攻撃ベクトルと、何よりもまず用心と忍耐を行使してそれらを軽減する非常に簡単な方法について説明しています。

さて、技術的なことを知りたい場合や、ブラックリストを使用したい場合は、いずれにしても、役立つツールのセットを以下に示します。

PDF スキャナーとは何ですか?

確かに。ほとんどの人は、PDF ファイルを特別に処理するツールについて聞いたことがありません。従来の X 対策スキャナーがその神聖な機能をあちこちで宣伝していれば、多少の幸運は得られるかもしれませんが、PDF を処理する専用ツールはほとんどありません。

最近まで、PDF ファイルは興味深いものとは考えられていませんでした。しかし、強力なスクリプトと Flash と PDF を組み合わせることで、かなり悪用できる侵害が発生しました。さらに悪いことに、最も人気のある PDF および Flash ソフトウェアは、同じベンダーである Adob​​e から提供されているため、一方に問題が発生すると、おそらくもう一方にも問題が発生する可能性があります。

PDF の脅威を軽減しようとしても、多くの偏執的な Windows ユーザーはパニックに陥り、解決策はほとんどありません。制限付きアカウントを実行し、代替ソフトウェアを使用すれば問題は解決しますが、これらの非常に単純な概念を試してみようとする人はほとんどいません。

最近、Windows ユーザーに不正なファイルを特定する何らかの方法を提供する、多数の PDF セキュリティ ツールが登場しました。繰り返しになりますが、ホワイトリストに登録することが望ましい方法です。それでは、これらのツールを調べてみましょう:

ウェパウェット

ホームページ

Wepawet は、Web ベースのマルウェアを分析するサービスです。 Flash、JavaScript、PDF ファイルを処理します。ファイルをアップロードするか、URLを指定してサービスを利用できます。とてもシンプルです。

サンプル レポートは次のようになります。

これは決して完璧ではありませんが、これがどのようなものかを示すヒントにはなります。疑いがあるときは、疑いがないことを忘れないでください。

PDFiD

ホームページ（記事）

このツールは PDF ファイル内の Javascript を無効にします。これは、関数の名前を小文字から大文字に、またはその逆に書き換えます。 PDF 言語では大文字と小文字が区別されるため、スクリプトが無意味になり使用できなくなりますが、リーダー ソフトウェアがコンテンツを正しく表示することは妨げられません。彼らは間違った指示を単に無視して、次へ進みます。

ただし、PDFiD はコマンドラインの Python スクリプトであるため、Python をインストールし、コマンドラインからツールを呼び出す必要があります。派手な GUI はありません。 Wepawet と同様、このツールは新しくて環境に優しいため、不具合がある可能性もありますが、仕事はきちんとこなしてくれます。

コマンドは次のとおりです。

PDFiD -d <ファイル名>.pdf

これにより、PDF ファイルが「解除」され、JavaScript が削除され、.disarmed.pdf というコピーが作成されます。次に、新しいファイルを試して、それが何をするのか、どのように機能するのかを確認できます。

私の知る限り、そしてここで誤解される可能性もありますが、PDFiD は VirusTotal スキャナー リストに含まれているため、疑わしいファイルに対してオンライン スキャンを実行すると、PDFiD を含むアップロードされたコンテンツの整合性を 20 以上のツールで検証することになります。

追加機能

大体、今日はこれで終わりです。超オタク向けには、さらに読み物がいくつかあります:

この PDF は悪意のあるものですか?

結論

この記事はあなたを PDF 特殊部隊の隊員やその類のものにするものではありません。ただし、望ましくない可能性のあるファイルを特定するための基本的なツールは提供されます。これらのツールは完璧とは程遠く、大量の使用を目的としたものではありませんが、この記事を読んでいるということは、おそらく平均的なコンピュータ ユーザーではないでしょう。

何度繰り返しても、そのファイルが気に入らない場合は、実行しないでください。何よりも、指のかゆみによる自傷行為を避けるために、代替アプリケーションを使用し、最小特権の概念を堅持してください。こうすることで、たとえ不正なファイルを実行したとしても、被害の範囲ははるかに小さくなります。

コンピューターの使用習慣があまり良くなく、あまり知識のない友人にファイルを送信する場合は、Wepawet と PDFiD を使用することをお勧めします。長い目で見れば、おそらくそれほど大きな違いは生まれないでしょうが、少なくとも最善の努力はしたことになるでしょう。

転送中の疑わしいファイルを処理する場合は、ホワイトリストを使用し、ブラックリストを使用してください。 この記事が気に入っていただければ幸いです。何か追加すべき賢明なことがあれば、恥ずかしがらずにメールを送ってください。また会いましょう。

乾杯。