2009年に刷新されたエフセキュアのロゴ。「かけがえのないものを守る」という言葉から想起される、機械的ではない優しさを感じさせながら、まるでユーザを包み込むかのようなデザインが特徴的だ

業界関係者のみならず、インターネットセキュリティについて関心の高い読者が集うエフセキュアブログ。常日頃より、全方位的にITセキュリティに関する情報を収集し調査・分析された結果、「エフセキュア インターネット セキュリティ 2010」等の製品にフィードバックされているのは想像に難くない。また、アンチウイルス製品の性能を比較する第三者調査機関のAV-Comparatives.orgが2010年2月に発表した最新の性能比較テスト (On Demand Detection of Malicious Software)により最高得点である"Advanced+"を獲得したのも、エフセキュアが掲げる「かけがえのないものを守る」という企業理念を忠実に、そして誠実に推し進めてきた賜だと言えるだろう。

インターネット上に潜む悪意ある者は、手を変え品を変え私たちを狙ってくる。常にイタチごっこのような関係性であるため、セキュリティソフトを導入していても100%安心だとは言い難いのが現状だ。そこでエフセキュアブログを通じて、今どのような手口のサイバー犯罪が横行しているのかを知り、知識を蓄えておくことがリスク回避に繋がるのではないだろうか。では、前回に引き続きエフセキュアブログで注目のトピックをピックアップしていくとしよう。

PDFファイルに潜む危険!それは脆弱性との戦い!?

エフセキュアブログで語られるトピックのなかでも、格段に登場頻度が高いのがPDFファイルにまつわるもの。良くも悪くも話題に事欠かないPDFファイル関連で、筆者がもっとも興味深かったのがエフセキュアセキュリティ研究所主席研究員のミッコ・ヒッポネンが報告した「PDFとはプロブレマティック・ドキュメント・フォーマットの略なのか?」というポストだ。"プロブレマティック"とは"問題のある"や"問題の多い"といった意味を指しており、ここでは特定のPDFファイルリーダーだけの問題ではないと提起している。

こちらは、「PDFファイル・フォーマットの仕様書」。ミッコ・ヒッポネンは「PDFスペック内には、実行ファイルをローンチする機能がある。あるいはJavaScriptを動作させる機能が。これらの機能は必要だろうか?」と疑問を投げかけている。

後日、サイバーディフェンス研究所上級分析官福森大喜氏も「仕様と脆弱性の間で」にて語っているが、この種の問題は仕様なのか脆弱性なのか、「卵が先か? 鶏が先か?」の理論に帰結してしまい問題解決にたどり着かない、と語っている。仕様策定側と開発者側の意識の違い。現代でもしばしば問題になるコミュニケーション不足、コミュニケーションスキルに起因する問題なのかもしれない。

仕様書の条文を抜粋し「PDFファイルは3Dオブジェクトを含むことができ、Embedded JavaScriptを完備? こんなことを誰が思いつくだろう?」とミッコ・ヒッポネン

実行ファイルをローンチしてしまう機能を有しているが、こういった仕様が悪意ある者たちに悪用されている側面も。PDFファイルでの文書のやりとりが増えるなか、こういった危険性を知っておいて損はないだろう

~IT先進国フィンランドからの伝言~
ほんとに知りたい セキュリティ事情
マイコミジャーナル設置のエフセキュアWeb特設サイト。フィンランドから届くセキュリティ情報をピックアップしてお届け中!!