JPCERT コーディネーションセンター、PDFの仕様を悪用した攻撃に注意喚起
PDFの仕様を悪用した攻撃により、サーバ上の機密情報盗取の恐れがあるとして、JPCERT コーディネーションセンターが注意を呼び掛けている。
同センターによると、PDF には入力フォームのあるドキュメントを作成機能があり、PDF 1.5 以降でAdobe が策定した Adobe XML Forms Architecture (XFA) がサポートされ、演算処理などにFormCalc というスクリプト言語を用いて PDF ドキュメントにプログラムを埋め込むことが出来るようになっている。この仕様により、PDFファイルにFormCalc 言語で書かれたスクリプトを埋め込むとPDFファイルに埋め込まれたプログラムから同一オリジン上の任意のコンテンツ取得が可能になる。この仕様が悪用されると、サーバ上の機密情報が盗取されたり不正なリクエスト送信、アカウント盗取、システム設定変更などの恐れがある。ただし、この攻撃は、サーバ側でユーザがPDFのアップロード許可、アップロードされたPDFの同一オリジン格納、クライアント側でAdobe PDF Plugin を有効にしたIE 11またはFirefoxで使用している場合のみ影響を受ける。対策として、クライアント側でIE11及びFirefoxで有効にしてるAdobe PDFのプラグインを無効化し、サーバ側でPDFコンテンツを別のサンドボックス・ドメイン上に格納することでこの攻撃の影響を防げる。
