特に重要なセキュリティ欠陥・ウイルス情報

Acrobat / Adobe Reader の全てのバージョンに重大な欠陥が発見されました。修正プログラムは現在開発中であり、まだ存在しません。

• Adobe Reader/Acrobatに新たな脆弱性、回避策はJavaScript無効化 (Internet Watch)

Acrobat / Adobe Reader の設定を変更し、JavaScript を無効とすることで、この欠陥を用いた攻撃を回避できます。たとえば Windows 版 Adobe Reader 9 の場合は、次の手順で無効にできます。

1. Adobe Reader を起動します。
2. [編集] メニューの [環境設定...] を選択します (画像)。「環境設定」ウインドウが開きます。
3. 分類から [JavaScript] を選択し、「Acrobat JavaScript を使用」のチェックボックスを外します (画像)。
4. [OK] をクリックします。「環境設定」ウインドウが閉じられます。

他のバージョンについても同様に設定できます。ウイルスによる被害を受ける前に、設定を行っておいてください。

修正版は現在開発中です。

関連キーワード: Acrobat, Adobe Reader

2009.05.14 追記

修正版の Acrobat / Adobe Reader が公開されました。次のバージョンで修正されています。

• Acrobat 7.1.2 / 8.1.5 / 9.1.1
• Adobe Reader 7.1.2 / 8.1.5 / 9.1.1

Acrobat / Adobe Reader 7.x / 8.x / 9.x については、内蔵のアップデート機能を使うか、あるいは個別に更新プログラムをダウンロードして適用するかしてください。ダウンロード先については以下を参照してください。

• APSB09-06 - Security Updates available for Adobe Reader and Acrobat (Adobe)

上記よりも古いバージョン（6.x 以前）を使用している場合は、一旦それを削除し、最新版の Acrobat / Adobe Reader をインストールしてください。古いバージョンの、あるいは未修正の Acrobat / Adobe Reader をインストールしたままにしておくと、コンピューターウイルスに感染する可能性がとても高くなります。

新型インフルエンザが世界的に広まりつつある昨今ですが、これに便乗してコンピュータウイルス（マルウェア）を配布しようとする動きも広まっています。日本も例外ではなく、既に国立感染症研究所を騙る事例が報告されています。

• Malicious Code Authors Jump on the Swine Flu Bandwagon (Symantec)
• 「国立感染症研究所」を詐称したブタインフルエンザ関連メールにご注意ください (国立感染症研究所)
• サイバー空間における豚インフルエンザ騒動の影響 (トレンドマイクロ)

このような事例は今後も続くと考えられます。以下の対策を怠らないようにしてください。

• アンチウイルスソフトウェアをインストールし、ウイルス定義ファイルが最新のものになっているかどうかを確認してください。ウイルス定義ファイルが一週間以上前のまま、といった状態の場合は、既にウイルスに感染している可能性が高いです。龍大標準のアンチウイルスソフトウェア VirusScan の場合、最新のウイルス定義ファイルは「DAT バージョン 5601.0000」です。
• Windows Update や自動更新などを利用し、Windows を最新のセキュリティ状態に保ってください。Internet Exlorer のプロキシだけでなく、WinHTTP のプロキシ も設定しないと、Windows Update や自動更新などを正常に利用できないので注意してください。
• アプリケーションソフトウェアについても更新し、最新のセキュリティ状態を保ってください。特に狙われやすいのは、次のアプリケーションです：
  • Microsoft Office (最新: Office 2007)。Office Update または Microsoft Update を使ってセキュリティ修正プログラムを適用できます。現在サポートされているのは Office 2000 以降だけです。
  • Adobe Reader / Adobe Acrobat (最新: バージョン 9)。現在サポートされているのは Adobe Reader / Acrobat 7.x 以降だけです。Adobe Reader については、原則として最新版をご利用ください。
  • Flash Player (最新: バージョン 10)。現在サポートされているのは Flash Player 9.x 以降だけです。使用している Flash Player のバージョンは、Adobe Flash Player のバージョンテスト で確認できます。原則として最新版をご利用ください。
  • QuickTime (最新: バージョン 7.6)。現在サポートされているのは最新版のみです。最新版をご利用ください。

特に Acrobat / Adobe Reader、Flash Player、QuickTime に関して、古いバージョンを使い続けている事例が散見されます。この数か月における理工学部内のウイルス感染事例においても、これらのアプリケーションはことごとく古いままでした。古いバージョンのアプリケーションに存在するセキュリティ欠陥を突いてウイルスを設置される事例もあったのではないかと思われます。アプリケーションソフトウェアについても忘れずに更新してください。

アンチウイルスソフトウェアをインストールしてしないのは論外ですが、ウイルス定義ファイルが最新のものになっているかどうかを確認していない事例も散見されます。ウイルス定義ファイルが古いままであることに気づかずに使い続け、ウイルスの感染が研究室中に広がった事例もありました。ご注意ください。

Acrobat / Adobe Reader の全てのバージョンに重大な欠陥が発見されました。修正プログラムは現在開発中であり、まだ存在しません。

• APSA09-01 - Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat (Adobe)
• Adobe ReaderとAdobe AcrobatでのJBIG2画像ストリームによるリモートコード実行 (IBM ISS)

この欠陥を利用するウイルスも既に登場しています。

• Trojan.Pidief.E (Symantec)
• TROJ_PIDIEF.IN (トレンドマイクロ)
• Exploit-PDF.i (McAfee)

Acrobat / Adobe Reader の設定を変更し、JavaScript を無効とすることで、この欠陥を用いた攻撃を回避できます。たとえば Windows 版 Adobe Reader 9 の場合は、次の手順となります。

1. Adobe Reader を起動します。
2. [編集] メニューの [環境設定...] を選択します (画像)。「環境設定」ウインドウが開きます。
3. 分類から [JavaScript] を選択し、「Acrobat JavaScript を使用」のチェックボックスを外します (画像)。
4. [OK] をクリックします。「環境設定」ウインドウが閉じられます。

他のバージョンについても同様に設定できます。ウイルスによる被害を受ける前に、設定を行っておいてください。

修正プログラムは現在開発中です。

• Acrobat / Adobe Reader 9 用の修正プログラムは 2009.03.11 (米国時間) にリリースされる予定です。
• その後、Acrobat / Adobe Reader 8 用の修正プログラムの開発がおこなわれます。
• さらにその後、Acrobat / Adobe Reader 7 用の修正プログラムの開発がおこなわれます。

Acrobat / Adobe Reader 8 以前を利用している場合は、あらかじめ、最新版である Acrobat / Adobe Reader 9 へアップグレードしておくことを強く推奨します。

関連キーワード: Acrobat、Adobe Reader

2009.03.12 追記

Windows および Mac OS X 用の Acrobat / Adobe Reader 9.1 が公開されました。この欠陥が修正されています。Acrobat / Adobe Reader 9 利用者はアップデートしてください。

• APSB09-03: Security Updates available for Adobe Reader 9 and Acrobat 9 (Adobe)

現時点での、その他のバージョンの更新版の公開予定は次のとおりです。

• Acrobat / Adobe Reader 7.x / 8.x の更新版は 2009.03.18 に登場予定
• Adobe Reader 9.1 for Unix は 2009.03.25 に登場予定

その後、JavaScript を無効にしただけではこの欠陥を利用した攻撃を防ぐことはできないことが明らかになっています。どうしても旧版の Acrobat / Adobe Reader を使わなければならない場合は、PDF ファイルの扱い、特に外部から送付された PDF ファイルの扱いには十分に注意してください。

2009.03.23 追記

Windows および Mac OS X 用の Acrobat / Adobe Reader 8.1.4 / 7.1.1 が公開されました。この欠陥が修正されています。Acrobat / Adobe Reader 8.x / 7.x 利用者はアップデートしてください。

• APSB09-04: Security Updates available for Adobe Reader and Acrobat (Adobe)

2009.01.27 現在、一部の研究室において Windows PC へのコンピュータウイルスの感染が確認されています。何らかの経路から感染後、USB メモリなどを通じて感染が広がっているようです。現在対応作業中です。

龍大標準のアンチウイルスソフト、マカフィー VirusScan Enterprise (VSE) は、最新のウイルス定義ファイル DAT5507 においても対応できていません (Extra.dat により一部には対応済。後述)。ここで解説されているウイルスと同種のものと考えられます。手元で採取した検体と各種アンチウイルスソフトの検出状況は以下のとおりです。

• a81lkgv.com
• autorun.inf
• ierdfgh.exe
• pytdfse0.dll
• pytdfse1.dll

実際のウイルスのファイル名は上記とは異なる場合があります。

対応手順

現時点では、次の手順で対応を行っています。

1. ウイルスファイルの存在は隠蔽されていますが、コマンドプロンプト (cmd.exe) から dir /a C:\ や dir /a C:\WINDOWS\system32 などと実行することで確認できます。
2. ネットワークに接続したままだと、ウイルスがネットワークを経由してアップデートしてしまいます。ネットワークケーブルを抜くなどして、物理的に切断します。
3. システムの復元を無効に設定します。
4. ウイルスは、Windows 起動時に自動的に起動されるよう、レジストリ HKCU\Software\Microsoft\Windows\CurrentVersion\Run に自身を登録しています。これを削除します。
   自動起動用のレジストリを削除するには、sysinternals の autoruns コマンドを使用すると容易です。autoruns を起動し、[Logon] タブの HKCU\Software\Microsoft\Windows\CurrentVersion\Run の項に注目します。あやしい項目についてチェックを外します。autoruns コマンドは、RINS で配布している「セキュリティ CD」の tools\sysinternals ディレクトリにも含まれています。
5. ウイルスをできるだけ削除しておきます。隠蔽されているファイルは、コマンドプロンプトから attrib -S -H -R pytdfse1.dll のように実行すれば隠蔽を解除できます。その後 del コマンドで削除します。削除できない場合は、ren コマンドを ren pytdfse1.dll pytdfse1.dll.hoge のように使ってウイルスファイルの名前を変更します。この段階ではうまく削除できないファイルも少なくないので、あまり神経質にならなくてもよいです。
   典型的なウイルスファイル名を後述しています。
6. 再起動します。
7. 削除できていなかったファイルを削除します。削除できるまで、手順 4〜7 を繰り返します。
8. USB などのメディアからの再感染を避けるため、autorun.inf の無効化設定を行います。autorunstop.bat をダウンロードして実行します。ダウンロード後のファイルの拡張子が .bat になっていることを確認してください。この設定を行うと、メディア挿入時の自動実行機能が働かなくなりますので注意してください。
   なお、よりセキュリティを高めるための設定: 自動再生を無効にする で述べている方法ではうまくいかない場合があるそうで、近日改定を予定しています。
9. Explorer 関連のレジストリ設定をウイルスが改変しています。修正するために、fix-showall.reg をダブルクリックして適用します。適用後、よりセキュリティを高めるための設定: エクスプローラ を実施します。
10. マカフィー VSE を利用していた場合、ウイルス感染によって改変され挙動がおかしくなっている場合が多いです。 ウイルス定義ファイルの更新が正常になされていないなどの挙動が見られる場合には、再インストールすることを推奨します。マカフィー VirusScan 関連ドキュメント を参照。
11. USB などのメディアに付着したウイルスを削除します。上記と同様、コマンドプロンプトから attrib コマンドと del コマンドを使って実施してください。

終ったら、システムの復元とネットワークを元に戻します。

「セキュリティ CD」は RINS の部屋 (瀬田 1 号館 443 室) で配布しています。

典型的なウイルスファイル名を以下に示します。これで全てではないので注意してください。

VSE で この Extra.dat を使うと、上記ウイルスのうち a81lkgv.com と ierdfgh.exe を検出できるようになります。Extra.dat の利用方法については以下を参照してください。

• VirusScan Enterprise 8.5 のExtra.dat ファイルの手動適用方法 (マカフィー)。VSE 8.7i の場合も同様に実施してください。
• VirusScan Enterprise 7.x / 8.0 のExtra.dat ファイルの手動適用方法 (マカフィー)

上記リンクに記載された方法がよくわからない場合は、次のようにしてください。

1. Extra.dat をコピーします。
   • C:\Program Files\Common Files\McAfee\Engine に (VSE 8.7i / 8.5i)
   • C:\Program Files\Common Files\Network Associates\Engine に (VSE 8.0i)
2. 再起動します。

全般的な対応・予防

Windows で「アンチウイルスソフトをインストールしていない」は論外です。何らかのアンチウイルスソフトをインストールしてください。VSE の場合は、8.5i または 8.7i の利用を推奨します。ただし、今回の事例でもわかるように、アンチウイルスソフトをインストールしておけば安心、というわけではありません。

autorunstop.bat を実行し、autorun.inf を無効化することを推奨します。

RINS で配布している「セキュリティ CD」にも含まれている StartupMonitor のようなツールをインストールしておき、起動項目の追加・変更を確認するのは効果的です。

Windows やアプリケーションのセキュリティ上の欠陥を突いて侵入するウイルスも存在します。セキュリティ修正プログラムを適用したり、最新版に更新したりして、セキュリティ上の欠陥を無くしてください。具体的には以下を実行してください。

• Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。
• アプリケーションを最新版に更新してください。特に狙われやすいのは：
  • Microsoft Office (最新: Office 2007)。Office Update または Microsfot Update を使ってセキュリティ修正プログラムを適用できます。
  • Adobe Reader / Adobe Acrobat (最新: バージョン 9)
  • Flash Player (最新: バージョン 10)
  • QuickTime (最新: バージョン 7.6)

関連キーワード: VirusScan

2009.01.28 追記

最新のウイルス定義ファイル DAT5508 において、上記検体のうち a81lkgv.com と ierdfgh.exe には対応されました。また、この Extra.dat を使うと pytdfse0.dllと pytdfse1.dll にも対応されます。

• DAT5508 へ更新されていることを確認してください。更新されていない場合は、タスクトレイのシールドアイコンを右クリックして「今すぐアップデート」を選択してください。
• この Extra.dat を適用してください。適用方法については上記を参照してください。

ウイルスに感染した Windows PC を調査したところ、以下の特徴がありました。

• ウイルス定義ファイルのバージョンが古い。また、アップデートを実行しても、アップデートに成功したような表示がされるものの、ウイルス定義ファイルのバージョンが古いまま。(ウイルスによって、定義ファイル更新機構を破壊されている)
• Windows のセキュリティ修正ファイルが全く適用されておらず、セキュリティ欠陥を突くような攻撃に対して全く脆弱。

アンチウイルスソフトにおいて、ウイルス定義ファイルが正常に更新されていることを確認してください。また、毎月第 2 火曜日 (米国時間) には Windows Update などを実行し、Windows を最新のセキュリティ状態に保ってください。

2009.01.29 追記

最新のウイルス定義ファイル DAT5509 において、上記の全ての検体に対応されました。Extra.dat はもう必要ありません。

2009.02.04 追記

一連の作業の中で収集した検体の中に、VSE では検出できないものがいくつかありましたが、最新のウイルス定義ファイル DAT5515 において対応されました。

典型的なウイルスファイル名を追記しました。

autorunstop.bat はローカルに配布するよう、リンク先を変更しました。(Luca さん多謝)

Adobe Reader 8.x / Acrobat 8.x に複数の欠陥が発見されました。

• APSB08-19: Security Update available for Adobe Reader 8 and Acrobat 8 (Adobe)

この欠陥は Adobe Reader 8.1.3 / Acrobat 8.1.3 で修正されています。

• ダウンロード - Acrobat for Windows (Adobe)
• ダウンロード - Acrobat for Macintosh (Adobe)
• ダウンロード - Adobe Reader for Windows (Adobe)
• ダウンロード - Adobe Reader for Macintosh (Adobe)
• ダウンロード - Adobe Reader for Unix (Linux, Solaris, ...) (Adobe)

またこの欠陥は、最新版である Adobe Reader 9 / Acrobat 9 には存在しません。可能であれば、最新版にアップグレードすることを推奨します。

• 最新バージョンのAdobe Readerのダウンロード (Adobe)
• Adobe Acrobatファミリー (Adobe)

この欠陥を利用する攻略 PDF ファイルも既に登場しています。

• Adobe Reader vulnerability exploited in the wild (SANS ISC)

欠陥が残る Adobe Reader / Acrobat を使って攻略 PDF ファイルを開くと、ウイルスに感染するなどの被害が発生します。早急なアップデート / アップグレードをお願いします。

関連キーワード: Acrobat, Adobe Reader