G@KIRA.NET×机上向学

ガジェット好きな筆者のPC・クラウド・アウトドア・防災に関する事を書いてみる、そんなブログです。

机上向学 アドビ Acrobat DC / Adobe Readerのセキュリティーをチェックする

今年はまだエアコンを入れる機会がありません。昼間が多少暑くても夕方からはぐっと涼しくなって夜は快適に寝ることが出来ます。

子供の頃の夏ってこんな感じだったよな、と思いつつぼちぼち本格的な夏が近づいてきてそうも言ってられなくなるんだろうなと。

今年も原発を稼働しなくても電気が足りないなどということがないように願います。

 

さて本題です。

先日富士ゼロックスさん主催のAcrobat DCセキュリティセミナーに参加してきました。

格好の事例としてつい先日日本年金機構の情報漏洩があったばかりですから、話題には事欠きません。

標的型攻撃で「メール+添付ファイル」を介した攻撃の増加を踏まえて課題は2つ。

課題その1「外部からPDFを受信する際の対策」

それに対してアドビさんが示された対策は、

Acrobatのセキュリティの脆弱性を突かれる可能性の払拭

AcrobatおよびAdobe Readerを最新版にアップデートすること

当たり前のようですけど結構後回しにして、バージョンが0.xxか低いまま運用していることはままあります。

それ以上に気をつけて欲しいのは、Acrobat9以前はすでにサポートが停止。Acribat Xも今年2015年11月をもってサポートが終了するためセキュリティパッチも提供されぬままノーガード状態で運用されることになります。

Acrobat旧バージョンをお使いのお客様へ | Adobe

よって新しいバージョンへアップデートしてねと言うのはアドビさんの理屈ですが、今回は当然ですと援護射撃します。Adobe Readerについて言えば無償で入手できるの懐も痛みません。

今回の年金機構の例からすると添付されていた実行形式のファイル、いわゆる「EXE」を誤ってクリックしてしまったことが原因です。

同じく添付されていたPDFファイルに何か良からぬ細工がされていた場合、最新状態のAcrobat / Adobe Readerではそのあたりがどうなっているかというと「サンドボックス」という技術により開いているアプリケーションの外に害が及ぶ行為を遮断するようになっています。どんな技術かというと以下参照。

e-words.jp

ということです。最新のセキュリティソフト(例えばウィルスバスターなど)でも不用意に添付ファイルを開こうとしたり、ブラウザーのリンクを踏むと警告して止めてくれたりもします。セキュリティソフトとアプリケーションのセキュリティ機能の2重の処置がトラブルを未然に防いでくれます。

Acrobat / Adobe Readerには「サンドボックスの機能がデフォルトでONになっていますが、念のため確認してみましょう。(以下Windows8で確認)

1)Adobe Readerを起動したら、「編集」→「環境設定」を開きます。

2)「分類」タブで「セキュリティ(拡張)」を選択します。

3)「サンドボックスによる保護」で「起動時に保護モードを有効にする」にチェックが入っているか確認する

f:id:gakira:20150626154803j:plain

以上です。

ちなみにMac OSXではこの機能そのものがありません。OSX自体の機能でカバーする形になっているそうです。

Apple - OS X Yosemite - あなたのMacを守るように作られています。

 

課題その2「外部へPDFを発信する際の対策」

これも重要です。

発信した「正式な情報.pdf」が悪意ある第三者により改ざんされて流布される可能性です。正式な体裁を持ったまま悪用されるので始末が悪いです。

その対策ですが、

・公開したくない情報を削除する

・改ざんできないようにPDFに変更禁止の設定をする

の2つです。

1つめの「公開したくない(公開してはいけない)情報の削除」ですが、どういうことでしょう。以下は某公共機関で公開されているPDFの「書類のプロパティ」を表示したところです。

f:id:gakira:20150626160951j:plain

まず、作成者の実名がしっかり入っています。これがあるとドメインと組み合わせてメールアドレスを特定できる可能性があります。標的型攻撃の格好の的になります。また作成したアプリやPDFに変換したアプリ、PDFのバージョンが分かります。これによっておおよそ相手の環境を推測することが出来ます。特にPDF作成にAcrobat9を使っているなんて書いてあったらほくそ笑んじゃいますね。

ここはAcrobat DCの「墨消し機能」を利用して「非表示情報を削除」を実行してみます。するとこうなります。

f:id:gakira:20150626162701j:plain

概ね削除されました。もちろんアドビさんで配布しているPDFについては(多分)ばっちり削除されているそうです。

2つめの変更禁止の設定は、同じく「文章のプロパティ」の「セキュリティ」タブで確認できます。

f:id:gakira:20150626163006j:plain

印刷や内容のコピーはおろか「文章の変更」までALL「許可」です。白を黒と置き換えることも出来てしまうわけです。

これはAcrobat DCの「保護」機能を利用して制限を掛けることが出来ます。ごく簡単な方法で行うと、

1)「文章のプロパティ」→「セキュリティ」タブ→「文章のセキュリティ」

2)「セキュリティ方法」で「パスワードによるセキュリティ」を選択

3)以下の画面で、

・「文章を開くときにパスワードが必要」にチェックを入れてパスワードを設定

・「文章の印刷および編集を制限。〜」にチェックを入れる

・「印刷を許可」を「しない」や「低解像度のみ」などを選択

・「変更を許可」で「しない」あるいは段階的に許可する範囲を変更する

f:id:gakira:20150626164041j:plain

などを設定する事で容易に改ざんできないようにする事が出来ます。

またこれら諸々のセキュリティ設定は「アクションウィザード」を利用することで容易に自動化できます。作成したアクションは書き出してファイルとして配布することが可能です。全社的なセキュリティ統制を行う一助になりますので活用したい機能です。

今日は珍しくアドビさんを褒めていますねって?

いつだって私はアドビさんLOVEです。