複雑なデジタル署名の仕組みが裏目にPDFを気付かれずに改ざん？ デジタル署名を無意味化する手口

ボーフム大学の調査によって、PDFビュワーの署名検証機能に脆弱性があることが判明した。PDFのデジタル署名機能は、ファイルや署名の改ざんを検出できない可能性がある。

[Hanno Bock，TechTarget]

　PDF形式のファイルには、デジタル署名を埋め込む機能がある。こうしたデジタル署名付きPDFファイルは広く普及しており、特に欧州連合（EU）のデジタル署名規則「eIDAS」への準拠が必要な政府機関でよく使用されている。

　こうしたPDF署名はどの程度安全なのか。ドイツのボーフム大学の研究者チームは、各PDFビュワーのデジタル署名関連機能の実装状況を調査し、調査結果を公開した。

併せて読みたいお薦め記事

セキュリティのトレンドをチェック

• 10人のCISOが語る「きっと話題になる10の課題」
• 2019年に備えるべき　新しい6つのセキュリティトレンド
• 2019年に勢いを増す“最も危険なサイバー攻撃”5種

電子署名の脆弱性

• 「DocuSign」を狙うフィッシングメールが急増　2018年の標的型攻撃の変化
• レジストリを2つ編集するだけでWindowsデジタル署名が無意味になる

　この調査結果は、PDF署名のセキュリティの脆弱（ぜいじゃく）さを浮き彫りにした。研究者は、デジタル署名機能を実装している調査対象のPDFビュワーの全てで、仕掛けを工夫してデジタル署名やファイルを改ざんすることに成功した。DocuSignの同名サービスのようなデジタル署名／契約サービスも、評価は芳しくなかった。同様の改ざん攻撃が成功したからだ。

なぜデジタル署名の改ざん攻撃は成功してしまうのか