［世界］
夏に猛威を振るったPDFスパムが悪質化して復活

今回の目的は株価操作ではなく、ボットネット構築のためのマルウェア感染

（2007年11月02日）

　8月初めに登場して猛威を振るったものの、まもなく姿を消したPDFスパムが、最近、さらに悪質化して復活した。

　セキュリティ・ベンダー各社の研究者によると、先週、PDFファイルが添付された何万通ものスパム・メールが送信された。このPDFファイルを開くと、受信者のPCにマルウェアが感染する仕組みになっていた。件名欄には、受信者の注意を引くように、「your credit report」（信用調査書）といった金融用語が含まれているという。本文には何も記載されず、ファイルが添付されているだけという体裁になっている。

　セキュリティ・ベンダーのエフセキュアは最近、同社のブログで次のように述べた。「このPDFファイルは、Acrobat ReaderとInternet Explorer 7.0のCVE-2007-5020という脆弱性を悪用し、マレーシアにあるサーバからマルウェアをダウンロードする。マルウェアの目的は、ボットネットを構築することと見られる」

　今夏のPDFスパムが人々を驚かせた理由は、送信量の多さだけではなく、こうしたメールならほとんどのスパム・フィルタをすり抜けられると思いついたスパム業者の悪知恵だ。スパム・フィルタがPDFスパムを素通りさせてしまうのは、添付PDFファイルをチェックする機能を持たないためだった。

　今回は、受信者が添付PDFを開くとマシンにマルウェアを仕込むという点で、以前よりもはるかに悪質だ。今夏のPDFスパムは通常、添付のPDFに株価操作をねらった文章を記しているだけで、マルウェアに感染する危険はなかった。また、8月初旬に登場したと思ったら、9月までには消滅した。8月7日にはスパム全体の30％を占めたが、8月29日には1％未満にすぎなかった。

　だが、今回の復活に驚いているセキュリティ専門家はほとんどいない。スパム業者は、「悪用できる脆弱性は何でも悪用する。Windowsには数えきれないほどの脆弱性がある」とコンサルティング会社タガノック・ネットワークスの社長で、IETFアンチスパム・リサーチ・グループの共同会長を務めるジョン・レバイン氏は語る。

　同氏は、PDFスパムによる攻撃は、Stormというマルウェアと同種のものだと考えている。「Acrobatは、使っているメール・クライアントが何であっても、その中から起動できる。つまり、これは、Eudoraを使おうとThunderbirdを使おうと、被害に会うおそれがあるということだ」

　なお、10月22日にアドビは、Adobe ReaderとAcrobatのバージョン8.1およびそれ以前のバージョン向けに、セキュリティ更新プログラムをリリースしている。

(カーラ・ギャレットソン／Network World オンライン米国版)