Adobe (Acrobat) Readerのセキュリティホールを悪用してマルウェアを感染させるようなアダルトサイトが、6月に入って以来、急激に増えています。ジーデータの調べでは、すでに100以上が発見されています。おそらく数百もの危険なサイトがあると推測されます。しかも、これらのサイトはSEO対策がしっかりと行われており、検索するとかなり上位に登場します。また、サイトのドメイン名もそれらしい名前が付されているので、だまされやすくなっています（感染のおそれがあるので、ここでは具体的なドメイン名やサイト名については伏せさせていただきます）。

これらのサイトは、インラインフレームを含んでいるため、PDFファイルを埋め込むことが可能です。実際にはPDFが表示されるわけではありませんが、PDFの脆弱性を利用してユーザーにマルウェアを送り込むために、通常は「PDFウイルス」と呼ばれています。アダルトサイトの場合、Flashの脆弱性を悪用するものを想像するのが一般的ですが、ここではAcrobatの脆弱性が悪用されているところに特徴があります。

今回の攻撃においてPDFは、攻撃者のための「ツール」にすぎません。実際のPDFが表示されなくてもかまいません。PDFはただバックグラウンドに潜んでいるだけです。中国にあるサーバーにリンクされているPDF文書が置いてあるのですが、そのPDFを読み込ませることが重要なのではないのです。ユーザーがアダルトサイトのページを開いた瞬間に、AcrobatのプラグインがそのサーバーからPDFを読み込もうとして、実際はウイルスをロードしてしまうのです。ジーデータ製品の場合、このウイルスはウェブのHTTPをスキャンする機能によって、「Packer.Malware.NSAnti.h」もしくは「Win32:-ACFU Trj」として検出、ブロックされます。また、PDFファイルの方も「JS:Pdfka-FS」として認識されブロックされます。PDFとしてのコンテンツが表示されなくとも、バックグラウンドで感染してしまったPCは、いつの間にかボットネットに組み込まれる等の被害をもたらされているのです。

また、GENOウイルスをはじめ、Acrobatの脆弱性を攻撃するものは、基本的に圧縮されていることによってその有害な機能を隠しています。JavaScriptを含んでいるオブジェクトが解凍されると、シェルコードのエントリがばらまかれ、いわゆるヒープスプレーが行われます。そして、バッファオーバーフローの脆弱性のあるCollab.getIcon()によって（CVE-2009-0927）、有害なコードを実行するのです。

ラルフ・ベンツミュラー（ジーデータ・セキュリティラボ所長）のコメント

「ラボでの調査では、この手の攻撃は、今のところアダルトサイトに限られています。しかしこの攻撃が成功であるとネット犯罪者たちが理解した場合には、近い将来、他のジャンルのサイトでも同様の攻撃がなされる可能性が高いでしょう。自分は大丈夫と思っている方も、Acrobatをはじめ各ソフトウェアのアップデートを、この機会に念のためにチェックすることをお勧めします。」

＊PDFウイルスが仕掛けられたサイト画像とリリースPDFは、ここからDLできます。