Sophos Cloud Optix
Chrome ブラウザで PDF を表示すると実行される「トラックウェア」攻撃「トラックウェア」攻撃が研究者によって発見されました。
セキュリティ企業の EdgeSpot が複数の不審な PDF ファイルを発見しました。2017 年から出回っていると思われるこれらのファイルは、HTTP POST トラフィックを readnotify.com というユーザー情報追跡サイトに送信しています。
この挙動は、デスクトップの Google Chrome で PDF ファイルが開かれた場合に限って発生しており、同一ファイルを Adobe Reader で開いたときの挙動は正常でした。
送信されていたデータには、ユーザーの IP アドレス、Chrome と OS のバージョン、さらにはコンピュータに保存されている PDF の完全なパスが含まれていました。
それほど深刻な攻撃ではないように思えますが、今回の問題は昨年 4 月に発見された、Adobe Reader や Foxit Reader を介して NT Lan Manager (NTLM v2) ハッシュを盗み出す攻撃 (CVE-2018-4993) とよく似ています。
その後、この攻撃の亜種が 11 月に EdgeSpot によって発見されています。この亜種には識別番号 CVE-2018-15979 が付与され、パッチが公開されました。
あまり重要とは思えないこれらのデータを収集する目的は何なのでしょうか。
これは推測に過ぎませんが、より大規模で攻撃を実行する前に PDF を利用した攻撃を試しているのかもしれません。
そうであれば、Adobe Reader に対して行うのは容易ではない攻撃を他の標的であらかじめ試しておくのは悪い戦略ではありません。EdgeSpot は次のように書いています。
(引用文日本語訳) 実行可能なエクスプロイト/サンプルが実環境に存在しているにもかかわらず、パッチの公開が遅れていることから、私たちはユーザーに潜在的リスクについて知らせる必要があると判断し、パッチの公開を待たずに情報を公表することにしました。
対策
EdgeSpot は、パッチが公開されるまでは PDF を Chrome 以外のアプリケーションで開くか、PDF を開く際にはコンピュータのインターネット接続を切断することを推奨しています (Android に搭載されている Chrome は PDF を別のアプリで開くため、この問題の影響を受けません)。
あるいは、PDF をブラウザで表示するという Chrome のデフォルト設定を変更して、ファイルをダウンロードした後で Adobe Reader などの別のアプリで開く方法もあります。デフォルト設定を変更するには、[設定] > [詳細設定] > [コンテンツの設定] > [PDF ドキュメント] を選択し、[PDF ファイルを Chrome で自動的に開く代わりにダウンロードする] を有効にしてください。
なお、Windows で Reader DC を実行している場合、PDF を開くために Chrome の拡張機能がインストールされている可能性があります。ただ、これによって Chrome の PDF の表示設定が無効化されることはありません。
Chrome 74 が 4 月 23 日 (Chromebook では 4 月 30 日) に正式リリースされることから、EdgeSpot は、Google がこの脆弱性を 4 月末に修正すると予想しています。