PDFを開いただけで銀行パスワードの盗難も――無料のAdobe Acrobat Readerで超危険なバグ発覚、確認と対応の方法[道越一郎のカットエッジ]
ちょっと待った。そのPDFファイルを開くだけで、PCを乗っ取られ、ウイルスを仕込まれ、銀行のパスワードを盗まれるかもしれない。PDF閲覧用にアドビが提供する無料の「Adobe Acrobat Reader」をPCにインストールしているなら、今すぐチェックしてほしい。バージョンが「26.001.21367」か、それより古い(=数値が小さい)場合は速やかに対処が必要だ。緊急性の高い重大なバグが潜んでいる。PDFファイルは開かず、今すぐAdobe Acrobat Readerのアップデートが必要。バージョンは次の方法で見られる。Adobe Acrobat Readerを立ち上げ、左上の「メニュー」>「ヘルプ」>「Adobe Acrobat Readerについて」で開く画面で確認できる。一番上に書かれた「Continuous Release | バージョン」に続く数値だ。WindowsとmacOSの両方が対象だ。
左上の「メニュー」から「ヘルプ」
「Adobe Acrobat Readerについて」とたどってバージョンが確認できる
バージョンが「26.001.21367」か、それより古い場合は、上記同様「メニュー」>「ヘルプ」>「アップデートの有無をチェック」を実行すれば、新しいバージョンがインストールできるはずだ。まれに、対象バージョンであっても「利用可能なアップデートがありません」と表示されアップデートできない場合がある。その際は、いったん「Adobe Acrobat Reader」をアンインストールして、Adobeの公式サイトからダウンロードし、インストールし直してほしい。アップデートやインストールが完了したら、もう一度先の手順でバージョンを表示させ、対処済みの新しいバージョンになっていることを確認する。ここでやっと心安らかにPDFファイルが開ける。
「Adobe Acrobat Readerについて」で表示されるバージョン情報
連休に入って時間ができ、しばらく使っていなかったPCを使ってみようかとする人も多いだろう。そんな場合は、特に危険だ。PCを立ち上げたら、真っ先にこのAdobe Acrobat Readerのバージョンチェックをしてほしい。この極めて重大なバグは、アドビが4月11日「Adobe Acrobat Reader に関するセキュリティアップデート公開(APSB26-43)」で明らかにしたもの。「優先度1のクリティカルな脆弱性に対応するアップデート」として発表した。「例えば72時間以内など、直ちに適用されることを推奨する脆弱性」だという。攻撃者が細工したPDFを開くだけで、任意のコード実行が可能になる、という、とび抜けて危ないものだ。しかも既に攻撃に使用されたことが確認されているという。
アップデート可能なバージョンが存在する場合は
「メニュー」>「ヘルプ」>「アップデートの有無をチェック」で
このような表示が出てそのままアップデートできる
こうしたセキュリティー関連の用語は、普通の人にとって極めて分かりにくく、不親切極まりない。そもそも「脆弱性って何だ?」と思う人もいるだろう。わかりやすく言えばバグ。ソフトの不具合だ。しかも、悪用するとユーザーのPCに不具合を生じさせる可能性のあるものだ。「優先度1のクリティカルな脆弱性」とは、ぶっちゃけて言えば「一番ヤバイ不具合」。今回はその中身が「任意のコード実行が可能」というものだ。これは、PCで自由にプログラムを実行させられる、という意味。例えば、ウイルスを仕込んだり、ファイルの読み取りや書き換え、削除、PCを乗っ取って遠隔操作したり、ブラウザに保存されているアカウントや取引銀行のパスワードなどの情報を抜き取ったりと、思いのままのことをやられてしまう恐れがある。しかも、あらかじめ加工したPDFファイルを開くだけで実行される。クリックしたらもう防ぎようがない。どれくらい「ヤバイ」バグかがお分かりいただけるだろう。
アドビが4月11日公表した「Adobe Acrobat Reader に関する
セキュリティアップデート公開(APSB26-43)」
さらに、今回のアドビの発表では、対象製品は「Acrobat DC」「Acrobat Reader DC」「Acrobat 2024」とされている。最もユーザーが多く影響が大きいと思われる無料版の「Acrobat Reader」が対象かどうか、よくわからない。アドビに直接確認したところ、確かに無料版の「Acrobat Reader」も対象だという。どうやら一世代古い呼称が「Acrobat Reader DC」であることでこのように表記しているようだ。とはいえ、無料版の「Acrobat Reader」とは別物に見えるように発表するのは悪質だ。現在、対象製品が世界中でどれくらいのPCにインストールされているか、見当も付かない。ただ、歴史の長さから推測すると、少なくとも10億本以上はインストールされているのではないか。ことさら騒ぎを大きくしたくないため、対象製品をわざとわかりにくく表記したのではないか、と邪推したくもなる。
アドビ製品に限らず、こうした重大なバグを突いて悪用する事例は今後どんどん増えていくだろう。先日、AIのトップランナー、アンソロピックが最新のAIモデル「クロード・ミュトス」のプレビュー版を発表した。しかし、その性能が高すぎることから一般公開を断念。一部の信頼できる機関のみに限定的に公開することになった。悪用されると、極めて重大な悪影響を及ぼす恐れがあるからだ。そのクロード・ミュトスを使って、セキュリティー的に「難攻不落の要塞」とも言われるUNIX系OS「OpenBSD」で、27年間誰も発見できなかったバグを数時間で発見する、という衝撃的な出来事もあった。アドビでは、今回のバグの発見と攻撃は「クロード・ミュトスとは無関係。たまたまタイミングが近かっただけではないか」としている。確かにミュトスは関係ないだろう。しかしバグの発見と攻撃ツール作成の過程で現在、当たり前のようにAIが使われているのは疑うべくもない。AIの進歩で享受できる利便性が高まったのと同じように、リスクも急激に高まっている。
今のところ我々にできることはあまりない。まずは、怪しいファイルを開かないこと。怪しいサイトを閲覧しに行かないこと。そして、使っているセキュリティー対策ソフトやOS、ブラウザーなどを常に最新の状態に保つことだ。日常的に使っているPCなら、自動アップデートがあったりして比較的楽にメンテできる。一方前述の通り、思い出したようにたまに電源を入れるような「普段使っていないPC」が一番危ない。PCを使っていない間、OSのアップデートファイルもどんどん積み上がっていく。アップデートだけで何時間もかかるという事態も生じ、いざ使おうと思っても満足に使えないような不便も被る。セキュリティーの維持も兼ねて、週に1~2回は全てのPCの電源を入れる日を作ったほうがいいかもしれない。(BCN・道越一郎)
「Adobe Acrobat Readerについて」とたどってバージョンが確認できる
バージョンが「26.001.21367」か、それより古い場合は、上記同様「メニュー」>「ヘルプ」>「アップデートの有無をチェック」を実行すれば、新しいバージョンがインストールできるはずだ。まれに、対象バージョンであっても「利用可能なアップデートがありません」と表示されアップデートできない場合がある。その際は、いったん「Adobe Acrobat Reader」をアンインストールして、Adobeの公式サイトからダウンロードし、インストールし直してほしい。アップデートやインストールが完了したら、もう一度先の手順でバージョンを表示させ、対処済みの新しいバージョンになっていることを確認する。ここでやっと心安らかにPDFファイルが開ける。
連休に入って時間ができ、しばらく使っていなかったPCを使ってみようかとする人も多いだろう。そんな場合は、特に危険だ。PCを立ち上げたら、真っ先にこのAdobe Acrobat Readerのバージョンチェックをしてほしい。この極めて重大なバグは、アドビが4月11日「Adobe Acrobat Reader に関するセキュリティアップデート公開(APSB26-43)」で明らかにしたもの。「優先度1のクリティカルな脆弱性に対応するアップデート」として発表した。「例えば72時間以内など、直ちに適用されることを推奨する脆弱性」だという。攻撃者が細工したPDFを開くだけで、任意のコード実行が可能になる、という、とび抜けて危ないものだ。しかも既に攻撃に使用されたことが確認されているという。
「メニュー」>「ヘルプ」>「アップデートの有無をチェック」で
このような表示が出てそのままアップデートできる
こうしたセキュリティー関連の用語は、普通の人にとって極めて分かりにくく、不親切極まりない。そもそも「脆弱性って何だ?」と思う人もいるだろう。わかりやすく言えばバグ。ソフトの不具合だ。しかも、悪用するとユーザーのPCに不具合を生じさせる可能性のあるものだ。「優先度1のクリティカルな脆弱性」とは、ぶっちゃけて言えば「一番ヤバイ不具合」。今回はその中身が「任意のコード実行が可能」というものだ。これは、PCで自由にプログラムを実行させられる、という意味。例えば、ウイルスを仕込んだり、ファイルの読み取りや書き換え、削除、PCを乗っ取って遠隔操作したり、ブラウザに保存されているアカウントや取引銀行のパスワードなどの情報を抜き取ったりと、思いのままのことをやられてしまう恐れがある。しかも、あらかじめ加工したPDFファイルを開くだけで実行される。クリックしたらもう防ぎようがない。どれくらい「ヤバイ」バグかがお分かりいただけるだろう。
セキュリティアップデート公開(APSB26-43)」
さらに、今回のアドビの発表では、対象製品は「Acrobat DC」「Acrobat Reader DC」「Acrobat 2024」とされている。最もユーザーが多く影響が大きいと思われる無料版の「Acrobat Reader」が対象かどうか、よくわからない。アドビに直接確認したところ、確かに無料版の「Acrobat Reader」も対象だという。どうやら一世代古い呼称が「Acrobat Reader DC」であることでこのように表記しているようだ。とはいえ、無料版の「Acrobat Reader」とは別物に見えるように発表するのは悪質だ。現在、対象製品が世界中でどれくらいのPCにインストールされているか、見当も付かない。ただ、歴史の長さから推測すると、少なくとも10億本以上はインストールされているのではないか。ことさら騒ぎを大きくしたくないため、対象製品をわざとわかりにくく表記したのではないか、と邪推したくもなる。
アドビ製品に限らず、こうした重大なバグを突いて悪用する事例は今後どんどん増えていくだろう。先日、AIのトップランナー、アンソロピックが最新のAIモデル「クロード・ミュトス」のプレビュー版を発表した。しかし、その性能が高すぎることから一般公開を断念。一部の信頼できる機関のみに限定的に公開することになった。悪用されると、極めて重大な悪影響を及ぼす恐れがあるからだ。そのクロード・ミュトスを使って、セキュリティー的に「難攻不落の要塞」とも言われるUNIX系OS「OpenBSD」で、27年間誰も発見できなかったバグを数時間で発見する、という衝撃的な出来事もあった。アドビでは、今回のバグの発見と攻撃は「クロード・ミュトスとは無関係。たまたまタイミングが近かっただけではないか」としている。確かにミュトスは関係ないだろう。しかしバグの発見と攻撃ツール作成の過程で現在、当たり前のようにAIが使われているのは疑うべくもない。AIの進歩で享受できる利便性が高まったのと同じように、リスクも急激に高まっている。
今のところ我々にできることはあまりない。まずは、怪しいファイルを開かないこと。怪しいサイトを閲覧しに行かないこと。そして、使っているセキュリティー対策ソフトやOS、ブラウザーなどを常に最新の状態に保つことだ。日常的に使っているPCなら、自動アップデートがあったりして比較的楽にメンテできる。一方前述の通り、思い出したようにたまに電源を入れるような「普段使っていないPC」が一番危ない。PCを使っていない間、OSのアップデートファイルもどんどん積み上がっていく。アップデートだけで何時間もかかるという事態も生じ、いざ使おうと思っても満足に使えないような不便も被る。セキュリティーの維持も兼ねて、週に1~2回は全てのPCの電源を入れる日を作ったほうがいいかもしれない。(BCN・道越一郎)
