脆弱性のあるPDFとはどういう意味ですか

会社から、業務上外部転送の許可を得たPDFを私の個人メールに送付したところ、そのPDFに脆弱性があったとセキュリティの主幹部署報告がありました。
そのPDFはそのセキュリティ主管部署が作成したものですが、一般的にこの「脆弱性」とは、どのようなものなのでしょうか。

Adobe Readerに脆弱性があって云々というのは理解できるのですけど…。

No.2 ベストアンサー 回答者： chie65535 回答日時： 2013/04/16 11:01

・脆弱性のあるPDFファイルとは

脆弱性のあるAdobe Readerで有害なJavaScriptを含むPDFファイルを開くと、有害なコードが実行され、パソコンがウイルスに感染します。この時、有害なコードは、ダミーのPDFファイルを表示させて、 ユーザーがウイルスに感染した事に気付かないようにします。

つまり「有害コードが仕込まれたPDFファイル」を「脆弱性のあるPDFファイル」と言います。

・脆弱性のあるAdobe Readerとは

PDFファイルに含まれた「有害なJavaScript」を無警告に実行してしまうAdobe Readerのこと。

PDFに含まれたJavaScriptを実行するのは、Adobe Readerの「正常な機能の１つ」なので「実行するな」とは言えません。

かと言って、JavaScriptを勝手に実行されると、JavaScriptがセキュリティホールになる可能性もあるので、その点を「脆弱性がある」と表現する場合もあります。

----

この種の「有害コード」は「自身を他のPDFファイルにコピーしていく」ので、どこかで有害PDFファイルを開いてパソコンがウイルス感染すると、他のPDFファイルにどんどん感染していきます。

なお「有害なJavaScript」は「脆弱性のあるAdobe Readerで実行される」ので、Adobe ReaderとPDFファイルの両方が「同時に脆弱性を持つ場合」にのみ、このウイルスが実行されます。

この回答へのお礼

詳細なご回答ありがとうございます。

今回の場合、私は受け取ったPDFをメールで転送しただけですので、
元をただせばPDFを作成したところに問題があったのですね。

お礼日時：2013/04/18 11:54

No.1 回答者： lazydog1 回答日時： 2013/04/16 10:50

>Adobe Readerに脆弱性があって云々というのは理解できるのですけど…。

　実はそれで正しいのです。もっと言えば、Adobe Readerにバグが見つかったということです。さらにはPDF作成ソフトの方にもバグがあります。どんなソフトもバグを除き切ることは不可能です。

　Adobe Readerの方に注目すると、そのバグが単にPDFがうまく読めないといっただけなら、セキュリティ上の問題とはなりませんが、バグを利用して悪意のあるプログラムをPDFに埋め込むことが可能です。実際、そのようにしてユーザのPCにウイルスなどを仕込むPDFが流布されたりしています。

　そうしたバグは意図的に悪意あるプログラムをPDFに仕込まなくても不具合を起こしますが、それをチェックするウイルス対策ソフト等には、単なるバグか、それとも意図的に悪意あるプログラムを仕込んだのか、必ずしも判定できません。そのため、そのバグに関すること全てを『危険』と判定します。

　質問者様の使ったPDF作成ソフトが、運悪くAdobe ReaderなどのPDF読み取りソフトのバグに触れてしまうPDFを出力してしまったということですね。こうしたことは、ときどき起こります。それは、セキュリティレベルを上げている場合が多いからです。

P.S.

　用心しすぎることを戒める「あつものに懲りてなますを吹く」なんてことわざがありますが、現在はそのくらい用心しないと、なかなかセキュリティを保つことはできないようで、とても残念なことです。

この回答へのお礼

お詳しいご回答ありがとうございます。

Adobe ReaderやAcrobatの方に起因する問題だったのですね。

お礼日時：2013/04/18 11:50