2017年06月15日 08時00分 公開
特集/連載

Chromeで発生した「Adobe Acrobat」自動インストール問題の真相「Adobe Acrobat」の「Chrome」用拡張機能の教訓から

2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。

[Michael Cobb,TechTarget]

 2017年1月「Adobe Acrobat Reader DC」のパッチ適用時、Windowsユーザーの「Google Chrome」に、WebページをPDFに変換する拡張機能「Adobe Acrobat」が自動的にインストールされ、多くの技術専門家やプライバシー専門家から批判を浴びた。どこに問題があったのか。ユーザーはどう対処すべきなのか。

 タイムリーなパッチ適用によってソフトウェアを常に最新の状態に保つことは、重要なITセキュリティ対策だ。だが多くのユーザーにとって、最新のセキュリティパッチをきちんとインストールしていくのは大変だ。そのため、今ではほとんどのソフトウェアベンダーが、ユーザーのマシンにパッチを自動的にプッシュするようになっている。

 Adobeは、毎月第2火曜日に自社製品のセキュリティアップデートを公開しており、それらはデフォルト設定では自動的にインストールされる。2017年1月10日に公開されたAdobe Acrobat Reader DCのアップデートは、29件の脆弱(ぜいじゃく)性を修正したが、それと同時に、Windows PCのGoogle Chromeに拡張機能のAdobe Acrobatもひそかにインストールした。ユーザーには、インストールをブロックするオプションは提供されておらず、この拡張機能は変更履歴にも記載がなかった。

 プライバシー専門家とユーザーは直ちにAdobeを批判した。この拡張機能はユーザーの許可なくインストールされただけでなく、デフォルトで匿名のテレメトリデータをAdobeに送信していたからだ。

 この拡張機能への不満を記したレビューが非常に多かったため、Googleのセキュリティ調査チーム「Project Zero」のリサーチャーであるタビス・オーマンディ氏は、この拡張機能のコードを調査した。すると、Document Object Model(DOM)ベースのクロスサイトスクリプティング(XSS)の脆弱性が存在し、JavaScriptコードが特権付きで実行される恐れがあることが分かった。その時点でChromeウェブストアの統計は、この拡張機能が3000万回以上インストールされたことを示していた。これだけユーザーがいれば、脆弱性を悪用しようとする者にとって魅力的なターゲットになる。

 この拡張機能は、WebページをPDFファイルに変換するものだが、ユーザーは、1月10日公開のAdobe Acrobat Reader DCのアップデートがインストールされた後で、最初にGoogle Chromeを開いた際に、この拡張機能に初めて気づいた。拡張機能が追加されたことをユーザーに知らせ、これを有効にするか、Google Chromeから削除するかを確認するプロンプトが表示されたからだ。

ITmedia マーケティング新着記事

news158.jpg

「リベンジ消費」は限定的、コロナ禍以前の状態に完全に戻ると考える人はわずか25%――野村総合研究所調査
コロナ禍が収束した場合の生活者の消費価値観や生活行動はどうなるのか。野村総合研究所...

news176.jpg

Teslaが成長率1位、LVMHグループ5ブランドがランクイン 「Best Global Brands 2021」
毎年恒例の世界のブランド価値評価ランキング。首位のAppleから10位のDisneyまでは前年と...

news056.jpg

「巣ごもり消費」で選ばれるブランドになる「シャンパンタワー型コミュニケーション戦略」のすすめ
「巣ごもり消費」はPRをどう変えたのか。コロナ禍における需要喚起に有効なB2C向けの統合...