2017年06月15日 08時00分 公開
特集/連載

「Adobe Acrobat」の「Chrome」用拡張機能の教訓からChromeで発生した「Adobe Acrobat」自動インストール問題の真相

2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。

[Michael Cobb,TechTarget]

 2017年1月「Adobe Acrobat Reader DC」のパッチ適用時、Windowsユーザーの「Google Chrome」に、WebページをPDFに変換する拡張機能「Adobe Acrobat」が自動的にインストールされ、多くの技術専門家やプライバシー専門家から批判を浴びた。どこに問題があったのか。ユーザーはどう対処すべきなのか。

 タイムリーなパッチ適用によってソフトウェアを常に最新の状態に保つことは、重要なITセキュリティ対策だ。だが多くのユーザーにとって、最新のセキュリティパッチをきちんとインストールしていくのは大変だ。そのため、今ではほとんどのソフトウェアベンダーが、ユーザーのマシンにパッチを自動的にプッシュするようになっている。

 Adobeは、毎月第2火曜日に自社製品のセキュリティアップデートを公開しており、それらはデフォルト設定では自動的にインストールされる。2017年1月10日に公開されたAdobe Acrobat Reader DCのアップデートは、29件の脆弱(ぜいじゃく)性を修正したが、それと同時に、Windows PCのGoogle Chromeに拡張機能のAdobe Acrobatもひそかにインストールした。ユーザーには、インストールをブロックするオプションは提供されておらず、この拡張機能は変更履歴にも記載がなかった。

 プライバシー専門家とユーザーは直ちにAdobeを批判した。この拡張機能はユーザーの許可なくインストールされただけでなく、デフォルトで匿名のテレメトリデータをAdobeに送信していたからだ。

 この拡張機能への不満を記したレビューが非常に多かったため、Googleのセキュリティ調査チーム「Project Zero」のリサーチャーであるタビス・オーマンディ氏は、この拡張機能のコードを調査した。すると、Document Object Model(DOM)ベースのクロスサイトスクリプティング(XSS)の脆弱性が存在し、JavaScriptコードが特権付きで実行される恐れがあることが分かった。その時点でChromeウェブストアの統計は、この拡張機能が3000万回以上インストールされたことを示していた。これだけユーザーがいれば、脆弱性を悪用しようとする者にとって魅力的なターゲットになる。

 この拡張機能は、WebページをPDFファイルに変換するものだが、ユーザーは、1月10日公開のAdobe Acrobat Reader DCのアップデートがインストールされた後で、最初にGoogle Chromeを開いた際に、この拡張機能に初めて気づいた。拡張機能が追加されたことをユーザーに知らせ、これを有効にするか、Google Chromeから削除するかを確認するプロンプトが表示されたからだ。

ITmedia マーケティング新着記事

news023.jpg

Cookieによる効果測定に不足を感じる広告宣伝担当者が増加――サイカ調査
広告配信などにおけるCookie利用の制限が検討されています。一方で、企業の広告宣伝担当...

news018.jpg

「TikTok Ads」2019年の振り返りと2020年の展望
もう「踊ってみた」動画だけではない。急成長する広告配信プラットフォーム「TikTok Ads...

news112.jpg

「メルカリハイ」の謎を解く――4人に1人が100円以下の利益でもフリマアプリに出品
なぜ人は100円以下の少額利益でもフリマアプリに出品してしまうのか。謎を解く鍵は「承認...