• ベストアンサー

Adobe Reade の 脆弱性

先日ある知人のブログを見ていたら突然ウイルスバスターが警告を出してました。 TROJ_PIDIEF.AR の ウイルスを検出したということでした。 問題のファイルはPDFファイルでインターネット一時ファイルに保存されていましたので 各社のオンラインスキャンで検索したところほとんどのものでは検出されなかったのですが カスペルスキーでは Exploit.Win32.Pidief.fl ということで判定されました。 ちなみにクライアントの環境は WindowsXp Pro SP2(windows updata は通常通り行っております) Adobe Reader 8.1.0 ここでこのウイルス情報につきまして新種のようで詳細の情報がまだ公開されていないようで 見つけれないためいくつかご質問よろしくお願いいたします。 1.ほかPCでもこのサイトを見ていたのですがこの症状が出たのはこの特定の端末だけでした。 ほかのPCはAdobe Readerはかなり古くAcrobat Reader5などでした古いことにより感染しないような 場合もあるのでしょうか。このウイルスはそのようなウイルスでしょうか。 2.対策としてこのサイトをみたすべてのPCをリカバリしたのですが一部Dドライブのデータを残しました リカバリ後ウイルスチェックを行い現在のところはウイルスは見つかっておりません。このウイルスの場合 とりあえずは問題のファイルを削除すればよいと判断しておりますがDドライブへのほかのファイルへの 感染の可能性もあるのでしょうか。 3.このウイルスの詳細情報が見つけれないため感染原因、感染後の症状、修復方法などが不明確で とりあえずは上記のような対策をしたのですがとても不安です。またPDFファイル自体も実際に 空白でしたが開いてしまったのでどのようなことがおこったのか気になります。 ほかのウイルスなども入った可能性もあるでしょうか。上記の対策では不十分でしょうか。 このウイルスの詳細情報などご存知であれば教えてください。 わかる部分の回答だけでも結構ですのでよろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • wamos101
  • ベストアンサー率25% (221/852)
回答No.8

#2です。 私は今回リカバリで対処されたことは結果的に間違いだとは思いません。 Adobeの脆弱性を狙ったExploitである可能性が高く、別PCに移したとはいえ開いてしまってること、なにより有用な情報が得られていないわけですので。 こういった判断がつき難い状況ではリカバリは賢明な手立てです。Remote Exec Vuln関連で悪い状況へ進行していってしまうといった可能性も十分秘めてるわけですので。 でですね、既にリカバリをされているので正常時のシステムバックアップを定期的に取るようにすることとと、以下のソフトの導入をお奨めします。 http://www.junglejapan.com/release/2008/0729a/

estima01
質問者

お礼

何度もご回答本当にありがとうございました。 私自身結構セキュリティには気を使っていましたのでその分今回のことは敏感になってしまいました。 使用しているどのパソコンもすぐにリカバリできるようにベストな状態でゴーストのイメージファイルが ありますので最善を考え今回はすぐに全台リカバリと決断しました。 ただデータだけは消すわけにはいかずDドライブに完全にわけてましたので 感染のリスクが気になりました。 あれから毎日のように各社のチェックをしてますが怪しいものはみつかりませんので おそらく問題ないと思われます。 ありがとうございました。

その他の回答 (7)

  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.7

あぁ…まだ勘違いをしている方が結構いらっしゃるようですが。。 まず申し上げておきたいのは『ウイルスが検出された』イコール『ウイルスに感染した』とは限らない、ということです。 特に、ウェブ閲覧中などに突然対策ソフトが警告を出して来て、見つかったものが隔離された場合には、感染は未然に防がれたと考えるのが筋なのです。 既に実行されてしまったexe形式のファイルや、他のアプリケーションソフトに利用されてしまったファイル、システムに組み込まれてしまったファイルなどは、いくら対策ソフトが検出しても削除出来ないケースが殆どです。逆に言えば、あっさり隔離出来てしまった場合には、人間の病気で言えば発症していない状態であり、基本的には全く心配しなくても構わないものなんです。 ですから… >対策としてこのサイトをみたすべてのPCをリカバリしたのですが もしも、ウイルス対策ソフトで相応の検出があったにも関わらず、即座にリカバリしてしまったとしたら、それはあまりに早計だったと言えます。特に、 1)検出されたものが無事に隔離出来た場合。 2)そのPCにインストールされているAdobe Readerが、脆弱性の影響を受けない最新のものであった場合。 のいずれかに該当する場合には、まずリカバリの必要はなかったと思います。百歩譲ってもリカバリを決断する前に、より検出力が高いと思われるカスペルスキーのオンラインスキャン辺りでセカンドオピニオンを取っておくべきだったかと。 http://www.kaspersky.co.jp/virusscanner >またPDFファイル自体も実際に空白でしたが開いてしまったので PDFファイル中に含まれる深刻な感染に至る引き金となるExploitコードが事前に検出されたため、Adobe Readerが空で開いてしまった可能性もあり得ます。そのことだけで発動したと結論付けるのはどうかと思いますが。 何らかの検出があったらその感染に対する情報を漁る、というのは正しい初期対処です。でも、そこに書かれていた内容が深刻だった場合にそれだけでリカバリを決めてしまうのは明らかに間違いです。見つかったときの状況、そして見つかったものへの対処が現状どうなっているかも加味して判断すべきなのです。 重ねて申し上げますが…あくまでも検出されたものが隔離出来なかった場合の話です。また、インターネット一時ファイル内にあるファイルに関しては、リアルタイム検出直後に即座に隔離出来ないケースもあるように思われます。なので、即座に隔離できなかったことだけをとって、発症したと判断するのも早いんです。

estima01
質問者

お礼

まったく別の意見ありがとうございます。とても参考になりました。 私としましては理解できる分もありますが使用しているどのパソコンもすぐにリカバリできるように ベストな状態でゴーストのイメージファイルがありますので最善を考え今回はすぐに全台リカバリと決断しました。 ただデータだけは消すわけにはいかずDドライブに完全にわけてましたので データはそのままにしましたので感染のリスクが気になりました。 あれから各社のウイルスチェックをしましたが問題ないようでしたのでryu-fizさんのいうとおりの可能性もあると思われます。 ただ今回は最善を尽くして起きたかったのでこういう処理をさせていただきました。 ご意見ありがとうございました。

  • wamos101
  • ベストアンサー率25% (221/852)
回答No.6

#2です。 Remote Exec VulnというのはRemote Execution Vulnerabilityのことで、脆弱性によるリモートコードの実行を意味します。Trojanの実行などです。ただし、必ずしも今回が当てはまると決まったわけじゃないです。あくまでもそういったことが多いというだけで。 で、リカバリ+オンラインスキャン遂行なんでほぼ問題ないと思います。 124.83.167.*** ←YAHOO 203.190.60.*** ←楽天 219.163.5.*** ←お使いのプロバイダ で、リモートポートのTCP 80はもちろんWebですけど、33537に関してはわかりません。 もちろん、REJECTだから拒否ってるわけですけど。 ちょと私にはわかりませんけど、何か心当たりは?

  • FMVNB50GJ
  • ベストアンサー率27% (411/1520)
回答No.5

ほかの回答者さんの補足のほうが興味深いので。 ファイアーウォールソフトは一般的にプログラムのインターネット通信を許可した場合、すんなり通過させます。あるいはまったく違って、機能そのものを停止するようなものを仕込まれている場合、機能しません。 ログは、たぶん接続要求かな?ルーターのログの見方はなれていないのでなんともいえませんが、80番ポートはたいていwebサイトへのアクセス、それ以外の番号はなんなのかな、P2Pソフトのようなソフトだと考えられますが。接続要求を出すのをフィルタリングしている場合?ですが。 逆ならば、その辺のごく当たり前の接続要求を遮断したということになると思いますが。というかルーターでそんなことしなくても通常は遮断・無視するはずですが。 リカバリしても生き残っていることはないと思います。 とりあえず、システムの復元を無効にし、セキュリティソフトの更新を確認し、ついでにマイクロソフトの更新も確認した後、スキャンをかけてみれば。ないはずですけど。 http://www.mcafee.com/japan/security/virE.asp?v=Exploit-PDF.b 「Adobe Readerからの予期しないネットワーク接続が行われます。」 どのプログラムがインターネット通信するのか把握できるソフトを持っているでしょうか。コマンドプロンプトでやる方法はわかりませんが、検索するしか能がないのでこれ以上はわかりません。

  • kazuof23
  • ベストアンサー率34% (1206/3517)
回答No.4

Adobe Reader 8.1.2以前はセキュリティホールがあるようなので、対策済みの最新版 Adobe Reader 9.0にアップしたら如何ですか。 http://www.adobe.com/jp/support/security/bulletins/apsb08-15.html

  • ns35006
  • ベストアンサー率84% (11/13)
回答No.3

> 1.ほかPCでもこのサイトを見ていたのですがこの症状が出たのはこの特定の端末だけでした。 > ほかのPCはAdobe Readerはかなり古くAcrobat Reader5などでした古いことにより感染しないような > 場合もあるのでしょうか。 Adobe Readerのどの脆弱性に対するExploitかわかりませんが、例えば CVE-2007-5659 JavaScript methodsに関する脆弱性なら http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5659 古いバージョンではその機能がないので影響を受けないかもしれません。 しかし、CVE-2008-2549 最近の脆弱性の場合 http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-2549 この脆弱性が公表された時点では7.1.0以外の全てのバージョンが影響を受けます。 リカバリされたということで、おそらく大丈夫だと思いますが、脆弱性のあるバージョンをそのままにされるのは避けたほうがいいと思います。 特にAdobe ReaderはPCに通常プリインストールされていますので、リカバリ後、Windows Updateをされたとしても、Adobe Readerの脆弱性はそのままになります。

estima01
質問者

補足

やはり古いバージョンでは影響を受けない場合もあるのですね。 クライアントにより挙動が違ったため不思議に思いました。 対策としてリカバリをかけオンラインスキャン(カスペルスキー F-Secure トレンドマイクロ)で実施して 見つからなかったのですが念には念を入れてほかに確認方法がありますでしょうか。

  • wamos101
  • ベストアンサー率25% (221/852)
回答No.2

こんにちは。 私はクラッカーコミュティーの潜入調査や対策ソフトの多角的性能テストなどをしております。 対策ソフトが警告を出したのになぜこのPDFファイルを開いたのか私には理解できませんが。 Adobe Readerの脆弱性を突いたExploitの可能性が高いと思われるのに。Remote Exec Vulnとかだったとしたらヤバいですよ。Adobeは狙われやすいですからね。 まあ、リカバリをかけたとのことなので結果的には難を逃れてるのかもしれないですが。 最新のもののようですので、一番はやはりベンダに問い合わせることです。

estima01
質問者

補足

問題のファイルを開いてしまったのはオンラインスキャンをするために別のPCに移動させました。 そのクライアントのウイルス対策ソフトでは検知できなかったようでミスで開いてしまいました。 Remote Exec Vulnとかだったとしたらヤバいということですがこれについて検索しましたが わかりやすいページが見つけれませんでした。ご教授いただけませんでしょうか。 またリカバリをかけオンラインスキャン(カスペルスキー F-Secure トレンドマイクロ)で実施して 見つからなかったのですが念には念を入れてほかにどのような確認方法がありますでしょうか。 少し気になるのがルータのログに 2008/08/22 00:41:25 IP_Filter REJECT TCP 192.168.0.9:2049 > 124.83.167.***:80 (IP-PORT=7) 2008/08/22 06:51:00 IP_Filter REJECT TCP 192.168.0.5:2049 > 203.190.60.***:33537 (IP-PORT=7) 2008/08/22 07:46:33 IP_Filter REJECT TCP 192.168.0.5:2049 > 219.163.5.***:80 (IP-PORT=7) (* 念のために伏せています) というのがありました。ローカルのPCよりどこかに通信しようとして遮断しているようですがこの件と関係ありますでしょうか。 ウイルスバスターのファイアーウォールがあるにもかかわらずなぜこのような通信をしているのか理解できません。 少し敏感になっていて何度もすみませんがよろしくお願いいたします。

  • FMVNB50GJ
  • ベストアンサー率27% (411/1520)
回答No.1

こちらのパソコンはxp sp3で富士通のパソコンです。 リカバリしたとのこと。十分では。自分なら感染の場合、Dドライブにデータをとっていても全部削除しますが、普通は必要ないと思います。 リカバリ前にシステムの復元をすべてのドライブで無効にする、という方法もいいかと思います。 Pidiefで検索したひとつ http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-020915-1008-99&tabid=2 クライアントの環境? 問題には関係ないですが。 メールにも注意していますよね。添付ファイルは場合により削除しても残ることがあるらしいですから。outlook2003だと思いますが。ウイルス対策ソフトのファイル閲覧というか、特定のフォルダーやファイルを閲覧する機能を使って通常では見えない一時ファイルの保存場所をのぞくことはできます。 コマンドプロンプトでも見えるらしいです。 http://www.atmarkit.co.jp/fwin2k/win2ktips/831olattachsave/olattachsave.html ブラウズ中のセキュリティ意識を高めるためにfirefoxの二つのアドオンを紹介 http://www.siteadvisor.com/download/ff.html https://addons.mozilla.org/ja/firefox/addon/722

estima01
質問者

補足

Symantecのページ見せていただきました。 「標的のコンピュータ上に有害なファイルをダウンロードして実行しようと試みます。」 というのがあり気になっております。 ファイルを開いてしまいましたので実際にはほかのウイルスもダウンロードされていてどこかに潜んでいないか心配です。 リカバリをかけオンラインスキャン(カスペルスキー F-Secure トレンドマイクロ)で実施して 見つからなかったのですが念には念を入れてほかにどのような確認方法がありますでしょうか。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • Adobe製品のセキュリティにつきまして

    最近は、Adobe Flash PlayerやAdobe Reader等の脆弱性をついた攻撃も多いようですね。 私はPDFファイルを開かない(開くことがない)ので、Adobe Readerについてはプリインストールされたままのバージョンをそのままにしてあります。 そこで質問なのですが、PDFファイルを開かなければ感染しないと考えて大丈夫でしょうか? それともPDFファイルを開かなくてもインストールされている古いバージョンのAdobe Readerに何らかの攻撃が加わる可能性もあるのでしょうか?  (それならアンインストールしなければ…) 今まで何となく疑問に思っていたことを質問させていただきました。 どうぞよろしくお願いします。

  • PDFウイルスはあるのか

    Adobe ReaderでPDFファイルを開くことで感染するというウイルスの報告はありませんか? 怪しげなサイトからダウンロードしたPDFをAdobe Readerで開きたいんですが、ウイルスが心配です。

  • Adobe ReadeでPDFファイルrが文字化けで読めません

    はじめまして。よろしくお願いします。 WindowsVistaを使用し、もともと入っていたAdobe Readerで PDFファイルを閲覧しようとしたところ、文字化けして読めません。 これはどうしたら読めるようになりますか?

  • Adobeでpdfが開けない

    win8.1です。 Adobe ReaderでPDFファイルを開こうとすると 画面の様に真っ暗になります。 どのPDFにおいても同じです。 しかし、 PDF-XChange Viewerなら問題なく開けます。 なのでファイルは壊れていません 同じパソコンで前はAdobe ReaderでPDFファイルを開けていたのですが いつからか開けなくなってしまいました。 Adobe Readerでも開けるようにするにはどうすればいいでしょうか?

  • Adobe Acrobat 5.0とAdobe Reader 9

    PDFファイル作成のためにAdobe Acrobat 5.0を使用し、閲覧のために Adobe Reader 9を使用しているのですが、PDFファイル閲覧時にも Adobe Acrobat 5.0が開いてしまい、閲覧できないPDFファイルが できてしまっています。 Adobe Reader 9でファイルを開くようにする方法を教えてください。

  • Adobe Reader8をインストールし始めると、トロイの木馬を検出したので中断しますと・・・

    不安なので、教えて下さい。Adobe Reader7を使用していたところ、Adobe Reader8にバージョンアップしますかとのお知らせが出たので、それをインストールしていると、突然、「トロイの木馬を検出したので中断します云々」の警告が出てきて、恐ろしくなり、急いで中断し、インターネットも切断したのですが、感染していたらどう対処すべきかもよく分からない為、ウィルス対策ソフトを入れているマカフィーの方へ電話で相談したところ、「トロイの木馬には感染していないはずです。Adobe Reader8も最後までインストールできているはずです。Adobe Reader8の容量等が、トロイの木馬のそれとよく似ているため、ウィルスソフトが作動した等」の説明でした。その後、ウィルススキャンしても、ウイルスは発見されなかったのですが、やはり、心配で・・・ このような事例が本当にあるのでしょうか?

  • アドビリーダー6.0で開けない

    アクロバットリーダーを利用していましたが、先日、アドビリーダー6.0にバージョンアップしました。 「PDFファイルをクリック─保存─ダウンロード完了─ファイルを開く」で、見ることができていたのですが、アドビリーダーにしてから、「ファイルを開く」が「IEエラー」になり、開きません。 エラーを報告しても、IEは閉じません。アドビリーダーが起動しないだけです。 また、「ファイルを開く」ではなく「フォルダを開く」からファイルを選択しても、症状は同じでした。 ショートカットからアドビリーダーを開き、ファイルを読み込むなら、問題なく閲覧できます。 解決方法があるでしょうか? よろしくお願いいたします。

  • Adobe PDF アイコン

    Adobe Readerのアイコンと、PDFファイルのアイコンは、画像の上の方のに なると思いますが、私のPCでは下の方のアイコンになっています。 Adobe Readerがペイントのアイコンになっていて、PDFファイルもおかしいです。 (ダブルクリックすれば、ちゃんとAdobe Readerが起動します。) これはどうすればちゃんとなるでしょうか。 OSはVistaです。

  • Adobe Readerとは?

    素人で申し訳ありません。先日から、以前見られていたPDFファイルが見られませんでした。まぁそうそう用も無いであろうと、そのままにしておいたのですが、家庭用エレベーターを購入しようと検索し、パナソニックのサイトで価格を知りたかったもので、PDFファイルを見ようとすると、先日と同じ症状が出、エラー表示が出ました。仕方が無いので、再度、Adobe Readerを再インストールしたのですが、今回は同じAdebe Readerなんですが、『Adobe Reader XI』になっています。お陰でファイルは見る事が出来たのですが、プログラムの追加と削除には、『Adobe Reader』と、『Adobe Reader XI』の2つが現在存在しています。元々の『Adobe Reader』は削除しても問題は無いのでしょうか?それとも残して置くべきモノなのでしょうか?未だに脱却出来ず、Windows xpを使用しています。

  • Internet Explorerのブラウザ上でAdobe Reader6.0が開けない

    私が使っているパソコンではもともとAdobe Reader5.0が入っていたのですがAdobe Reader6.0に更新したらMicrosoft Internet Explorerのブラウザ上でAdobe Reader6.0が開けない状態となりPDFのファイルがネット上にあると、PDFファイルをいったん保存した後にAdobe Reader6.0を起動してから保存ファイルを見るといった非常に手間のかかる手順を踏まなければならなくなりました。この状態のままだと必要な情報がPDFとして提供されているページを見るときに非常に時間がかかってしまいます。設定の仕方を知っていましたら教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する