米アドビシステムズ（Adobe Systems）は2009年3月10日、深刻な脆弱性を修正した「Adobe Reader 9.1」と「Acrobat 9.1」を公開しました。アップデートの適用で修正される脆弱性は、TrendLabs Malware Blog（英語ブログ：Portable Document Format or Portable Malware Format?）にて紹介しているPDFファイル（PDFウイルス）「TROJ_PIDIEF.IN」が攻撃に使用しているものです。Adobe Readerの自動更新機能である[Adobe Updater]からもそのアップデートは可能です。ウイルス対策の観点からは、ただちにアップデートすることをお勧めします。

今回の事例では、サードパーティ製PDFソフトを使うことで、脆弱性の影響を回避しようとする考え方が話題となっています。これは何を意味しているのでしょうか。

　PDFファイルはその源流はアドビシステムズ社にあります。しかし、2007年にドキュメント・情報管理に関する非営利機関AIIM（Association for Information and Image Management）へその全仕様は譲渡され、いまや国際標準「ISO 32000-1:2008」に基づくオープンなフォーマットとなっています。このため、アドビシステムズ社以外のベンダからも多数のPDF閲覧・印刷ソフトがリリースされています。筆者自身もサードパーティ製PDFソフトを愛用しています。今回調べてみたところ、予想以上に多くのPDFソフトがリリースされていることを知りました。

• Brava Reader
• eXPert PDF Reader
• Foxit Reader
• Haihaisoft PDF Reader
• PDF Reader
• STDU Viewer
• Sumatra PDF

　こうしたサードパーティ製PDFソフトでは独自の描画エンジンを使用し、PDFファイルを表示しているため、「サードパーティ製PDFソフトを使えば安心だ」という考え方が話題となりました。

　果たしてこの考えは正しいのでしょうか。

　今回の脆弱性はJBIG2画像の取り扱いに問題があります。これは、PDFフォーマットに起因するものです。このため、被害の大小はあれ、サードパーティ製PDFソフトにも何らかの影響を及ぼします。

　それ以前にセキュリティ対策としてサードパーティ製PDFソフトの利用を推奨することは何ら意味をもちません。仮に今回の脆弱性に対して耐性をもつPDFソフトを利用していたとしても、そのソフトウェアの安全性を保証するものではありません。攻撃者が次なる標的としてあなたが利用するソフトウェアを狙うやもしれません。世界的に使われている有名ソフトウェアだけではなく、国内が中心のローカルなソフトウェアが抱える脆弱性への攻撃が増えている現状に目を反らすべきべきではないといえます。