Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

PDFを開くだけで暗号化された内容が流出

この記事を読んで、どんなソフトにもJavaScriptは万能すぎると感じました。

gigazine.net

 

ドイツにあるルール大学ボーフム校とヴェストファーレン・ヴィルヘルム大学のセキュリティ研究者らが「暗号化されたPDFの内容を、パスワードなしで盗み出すことができる攻撃手法を発見した」と発表しました。「PDFex」と名付けられたこの攻撃手法はPDFの仕組みそのものを悪用しているため、Adobe Acrobat Reader DCやPDF-XChange Viewerといった特定のPDFビューワーソフトだけでなく、ChromeFirefoxなどのブラウザで閲覧した場合でもPDFの暗号化を突破されてしまうとのことです。

Gigazine記事より引用)

 

◆キタきつねの所感

今回発表されたPDFの脆弱性の1つは、部分的にPDFが暗号化された部分を平文部分に改ざんする」という攻撃手法の様です。

長い事業務でPDFを扱っていますが、、、部分暗号化は使った事が無いのですが、その場合はこの攻撃を免れる事ができる様です。

 

この脆弱性を使って、PDFファイルに埋め込まれた、暗号化されて無いPDFフォーム、ハイパーリンクJavaScriptを改ざんし、”PDFファイルが開くと復号化したコンテンツを送信させる”といった攻撃が可能となる様です。

とは言え、PDFビューワーで標準的にはオフになっている事が多いJavaScriptがONになっていないとこの攻撃は成立しません。

 

もう1つのPDF脆弱性は、暗号利用モード「Cipher Block Chaining(CBC)」が暗号化部分の整合性をチェックしない事を利用して、暗号化されたコンテンツが複号化される際に流出させるメカニズムを入れ込む事が可能であるという点を突いた攻撃手法の様です。PDF仕様の問題でもある為、影響範囲(対応ソフトの種類)が大きく、かつパッチ修正で対応が困難なPDF根本の部分である所が悩ましい所です。

 

暗号化されたPDFファイルの機密性を狙った攻撃手法は、コンテンツの一部を暗号化される部分に脆弱点があったことを示唆しています。JavaScriptが使える様になっている事などの付帯条件つきではありますが、AES-CBS(整合性保護がない暗号化)がサポートされている関係上、次のPDFバージョンまでは根本的な解決がされない可能性が高いかと思います。

 

それを考えると、1つの暗号化技術に委ねすぎない、すなわちPDFでコンテンツ暗号化する・・だけでなく、ファイルそのものをZIP暗号する、アクセス制限のかかったフォルダにPDFファイルを保管しておく、等々、将来違った脆弱性が出てきても対応できる様に、多層防御の考え方で重要ファイルを守る事が有効なのかと思います。

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 f:id:foxcafelate:20191005074807p:plain


 

更新履歴

  • 2019年10月5日AM(予約投稿)