2017年06月15日 08時00分 公開
特集/連載

「Adobe Acrobat」の「Chrome」用拡張機能の教訓からChromeで発生した「Adobe Acrobat」自動インストール問題の真相

2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。

[Michael Cobb,TechTarget]

 2017年1月「Adobe Acrobat Reader DC」のパッチ適用時、Windowsユーザーの「Google Chrome」に、WebページをPDFに変換する拡張機能「Adobe Acrobat」が自動的にインストールされ、多くの技術専門家やプライバシー専門家から批判を浴びた。どこに問題があったのか。ユーザーはどう対処すべきなのか。

 タイムリーなパッチ適用によってソフトウェアを常に最新の状態に保つことは、重要なITセキュリティ対策だ。だが多くのユーザーにとって、最新のセキュリティパッチをきちんとインストールしていくのは大変だ。そのため、今ではほとんどのソフトウェアベンダーが、ユーザーのマシンにパッチを自動的にプッシュするようになっている。

 Adobeは、毎月第2火曜日に自社製品のセキュリティアップデートを公開しており、それらはデフォルト設定では自動的にインストールされる。2017年1月10日に公開されたAdobe Acrobat Reader DCのアップデートは、29件の脆弱(ぜいじゃく)性を修正したが、それと同時に、Windows PCのGoogle Chromeに拡張機能のAdobe Acrobatもひそかにインストールした。ユーザーには、インストールをブロックするオプションは提供されておらず、この拡張機能は変更履歴にも記載がなかった。

 プライバシー専門家とユーザーは直ちにAdobeを批判した。この拡張機能はユーザーの許可なくインストールされただけでなく、デフォルトで匿名のテレメトリデータをAdobeに送信していたからだ。

 この拡張機能への不満を記したレビューが非常に多かったため、Googleのセキュリティ調査チーム「Project Zero」のリサーチャーであるタビス・オーマンディ氏は、この拡張機能のコードを調査した。すると、Document Object Model(DOM)ベースのクロスサイトスクリプティング(XSS)の脆弱性が存在し、JavaScriptコードが特権付きで実行される恐れがあることが分かった。その時点でChromeウェブストアの統計は、この拡張機能が3000万回以上インストールされたことを示していた。これだけユーザーがいれば、脆弱性を悪用しようとする者にとって魅力的なターゲットになる。

 この拡張機能は、WebページをPDFファイルに変換するものだが、ユーザーは、1月10日公開のAdobe Acrobat Reader DCのアップデートがインストールされた後で、最初にGoogle Chromeを開いた際に、この拡張機能に初めて気づいた。拡張機能が追加されたことをユーザーに知らせ、これを有効にするか、Google Chromeから削除するかを確認するプロンプトが表示されたからだ。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news042.jpg

訪日外国人観光客が礼賛、おもてなし力が高い日本の都市トップ10――Airbnb調査
訪日外国人旅行者の目的が体験型消費に移行しつつあるといわれる中、どのような都市が高...

news033.jpg

Facebook日本進出から10年、個人情報不正利用問題が広告事業に与える影響は?
Facebook日本進出10周年に当たり、フェイスブックジャパンは記者向けの説明会を開催。気...

news114.jpg

LINE、QRコード読み込みで即時抽選ができる店頭販促支援サービス「LINEインスタントウィン」を提供
LINEは、「LINE」を活用した店頭販促ソリューション「LINE SP Solutions」の新メニューと...