Minerva Labsのブログ
「Adobe Acrobat Reader」にはウイルス対策ソフトによるチェックをブロックする処理が組み込まれており、セキュリティ上の問題があるという。セキュリティ事業を展開するイスラエルのMinerva Labsが、6月20日(現地時間)付けで公開したブログで指摘している。
「Acrobat Reader」は内部で「Chromium Embedded Framework」(CEF)を用いているが、「CEF」には特定のDLLと競合する問題があり、それを回避するためにブロックリストがハードコードされている。
「CEF」が互換性回避のためにハードコードしているDLLのリスト。Adobeは「Acrobat Reader」へ「CEF」を拡張するにあたり、これを大幅に拡張している
ところが、Adobeは2022年3月以降、「CEF」を自社製品に組み込む際にこのブロックリストを独自に拡張し、著名なセキュリティソフトのDLLを大量に追加しているという。つまり、セキュリティソフトのDLLインジェクション(挿入)を無効化している可能性がある。Minerva Labsによると、以下のようなセキュリティソフトが「Acrobat Reader」で追加ブロックされているという。
Trend Micro
BitDefender
AVAST
F-Secure
McAfee
360 Security
Citrix
Symantec
Morphisec
Malwarebytes
Checkpoint
Ahnlab
Cylance
Sophos
CyberArk
Citrix
BullGuard
Panda Security
Fortinet
Emsisoft
ESET
K7 TotalSecurity
Kaspersky
AVG
CMC Internet Security
Samsung Smart Security ESCORT
Moon Secure
NOD32
PC Matic
SentryBay
セキュリティソフトのDLLインジェクションを無効化すると、万が一「Acrobat Reader」がマルウェアに乗っ取られた際に、そのプロセスではセキュリティソフトによるチェックが働かなくなる恐れがある。たとえOSにセキュリティソフトを導入していても、ユーザーが「Acrobat Reader」を信頼して利用していれば、そこがセキュリティスキャンの抜け穴となってしまうわけだ。「Acrobat Reader」は多くのユーザーを抱えるアプリで、マルウェアの標的になることも多いため、そうした危険性は無視できない。
Minerva LabsがAdobeにコメントを求めたところ、「Acrobat Reader」がサンドボックス機能を実装するために採用している「CEF」には互換性問題があり、それを回避して安定性を維持するために行っている措置であるという旨の回答が得られたとのことだが、Minerva Labsはこの仕様に対し「破滅的な結果を引き起こしうる」として警鐘を鳴らしている。
樽井 秀人
