2017年06月15日 08時00分 公開
特集/連載

「Adobe Acrobat」の「Chrome」用拡張機能の教訓からChromeで発生した「Adobe Acrobat」自動インストール問題の真相

2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。

[Michael Cobb,TechTarget]

 2017年1月「Adobe Acrobat Reader DC」のパッチ適用時、Windowsユーザーの「Google Chrome」に、WebページをPDFに変換する拡張機能「Adobe Acrobat」が自動的にインストールされ、多くの技術専門家やプライバシー専門家から批判を浴びた。どこに問題があったのか。ユーザーはどう対処すべきなのか。

 タイムリーなパッチ適用によってソフトウェアを常に最新の状態に保つことは、重要なITセキュリティ対策だ。だが多くのユーザーにとって、最新のセキュリティパッチをきちんとインストールしていくのは大変だ。そのため、今ではほとんどのソフトウェアベンダーが、ユーザーのマシンにパッチを自動的にプッシュするようになっている。

 Adobeは、毎月第2火曜日に自社製品のセキュリティアップデートを公開しており、それらはデフォルト設定では自動的にインストールされる。2017年1月10日に公開されたAdobe Acrobat Reader DCのアップデートは、29件の脆弱(ぜいじゃく)性を修正したが、それと同時に、Windows PCのGoogle Chromeに拡張機能のAdobe Acrobatもひそかにインストールした。ユーザーには、インストールをブロックするオプションは提供されておらず、この拡張機能は変更履歴にも記載がなかった。

 プライバシー専門家とユーザーは直ちにAdobeを批判した。この拡張機能はユーザーの許可なくインストールされただけでなく、デフォルトで匿名のテレメトリデータをAdobeに送信していたからだ。

 この拡張機能への不満を記したレビューが非常に多かったため、Googleのセキュリティ調査チーム「Project Zero」のリサーチャーであるタビス・オーマンディ氏は、この拡張機能のコードを調査した。すると、Document Object Model(DOM)ベースのクロスサイトスクリプティング(XSS)の脆弱性が存在し、JavaScriptコードが特権付きで実行される恐れがあることが分かった。その時点でChromeウェブストアの統計は、この拡張機能が3000万回以上インストールされたことを示していた。これだけユーザーがいれば、脆弱性を悪用しようとする者にとって魅力的なターゲットになる。

 この拡張機能は、WebページをPDFファイルに変換するものだが、ユーザーは、1月10日公開のAdobe Acrobat Reader DCのアップデートがインストールされた後で、最初にGoogle Chromeを開いた際に、この拡張機能に初めて気づいた。拡張機能が追加されたことをユーザーに知らせ、これを有効にするか、Google Chromeから削除するかを確認するプロンプトが表示されたからだ。

ITmedia マーケティング新着記事

news018.jpg

「辛ラーメン」は「カップヌードル」の2倍超、訪日中国人の食品認知率――ヴァリューズ調べ
ヴァリューズは「中国人の食品ブランド認知・購入状況調査」を実施しました。

news007.jpg

電通デジタル、日本企業のデジタルトランスフォーメーション&デジタルマーケティングに関する調査を実施
電通デジタルが実施した「デジタルトランスフォーメーションとデジタルマーケティングの...

news048.jpg

Facebook活用で地方創生、神戸市の取り組みで見えた成果と課題とは?
フェイスブック ジャパンと神戸市が2018年7月に提携した「地域経済・地域コミュニティ活...