政府との連携でAdobeが目指すPDFのセキュリティ対策
adobe手法。。。
下記IT mediaより
サイバー攻撃対策で内閣官房情報セキュリティセンター(NISC)との連携を発表したアドビシステムズは4月26日、この連携の背景や同社のセキュリティ対策について説明を行った。PDFファイルを利用した安全な情報流通の実現を目的としている。
今回の連携では(1)政府省庁で取り扱うPDF文書に政府認証基盤(GPKI)を使って発行した電子証明書を付与することを推奨、(2)Adobe Reader/Acrobatにこの証明書を自動的に確認する機能を実装――の2点が柱となる。これによりAdobe Reader/Acrobatのユーザーは、日本政府機関が発行するPDFファイルが正しいものか、また、内容が第三者に改ざんされていないかどうかを確認できるようになった。
この背景には、PDF文書が政府機関で取り扱われる事実上の情報流通基盤になっていること、また、不正プログラムを埋め込んだPDFファイルをメールに添付する標的型攻撃の増加があるという。
アドビが独自に調べた結果によれば、政府省庁がWebサイト上で公開しているファイル(直近の3年間)の95.9%がPDF形式だった。経済産業省が2011年に発表した調査結果では標的型攻撃を受けたとする企業が、2007年の5.4%から2010年には33%に増加した。アドビシステムズのグレイグ・ティーゲル社長は、「こうした状況をみても、PDFの利用機会が多い日本の政府機関がサイバー攻撃のリスクにいかにさらされているかが分かる」と述べた。
またマーケティング本部Acrobatマーケティングの小圷義之マネージャーによると、2011年末にNICSから同社にサイバー攻撃対策の協力要請があったという。同社で具体策を検討した結果、既存のGPKIを使った電子証明書の発行と同社製品への確認機能の実装が、短期間かつ少ないコストで実現する方法となった。米Adobe Systemsも協力して4月12日に公開したAdobe Reader/AcrobatのWindows/Mac版向けアップデートで確認機能を追加。NISCが21日からAdobe Reader/Acrobatに証明書に配信することを開始し、ユーザーが利用できるようになった。
NISCではこれと併せて、Adobe Reader/Acrobatの更新情報を政府省庁に迅速に提供するとともに、可能な限り早期のアップデート適用を政府省庁に求めている。
NISCとの連携で実現した仕組みPDF開発元の意地
PDFファイル形式はAdobeが開発したものだが、上述のように政府レベルから一般の企業や団体、さらには個人までと幅広く利用されるようになったことから、2008年にはISO32000-1として標準規格化された。これに伴って現在では同社以外に多くのベンダーがPDF関連製品を提供するようになっている。
だが奇しくも、この頃からPDFファイルを悪用するサイバー攻撃の急増ぶりが目立つようになった。それ以前はMicrosoft Officeのファイルを悪用する攻撃が目立っていたが、現在ではPDFファイルを悪用するケースの方が多いと指摘する声もある。
Adobeはこの事態に対処するため、2008年前後から以下のような取り組みを進めてきたという。
- Reader/Acrobat Xへの「サンドボックス」の実装
- Windowsのデータ実行防止(DEP)機能やメモリ保護技術「Address Space Layout Randomization」の活用
- JavaScriptのホワイト/ブラックリストの活用
- クロスドメインにおけるアクセス制御
- Microsoftのセキュリティパートナープログラム「Microsoft Security Response Center Partners and Active Protections Program」への参加
- Microsoftの月例セキュリティ更新プログラムと連動したアップデートのリリース(原則として四半期ごと)
- セキュリティ動向分析チーム「ASSET」およびインシデント対応チーム「PSIRT」の活動
Reader/Acrobat製品でのセキュリティ対策を担当するスティーブ・ゴットワルズ グループプロダクトマネージャーは、「ユーザーが負担を感じることなく最新の状態を維持できること、セキュリティを意識した製品開発、パートナーとの密接に連携した活動を通じ、情報基盤としてのPDFの信頼向上に努めている」と述べた。
NISCとの連携もこうしたセキュリティ強化に向けた活動の一環で、同社は今後、他国の政府機関や地方自治体にも同様の連携を呼び掛けていくほか、企業や組織における電子文書のセキュリティ対策の支援にも注力していくとしている。
