増加するPDFを使った攻撃

PDFは、Portable Document Formatの略で、Adobeが開発した電子文書のファイル形式です。
PDFファイルは文書を紙に印刷したときと同じレイアウトで保存でき、PCやスマホなど、どんな環境で開いても基本的に同じように表示できるのが特長です。
この特徴から、文書を公開する際によく利用されます。
このファイル形式は文書のファイル形式なのですが、電子文書の特徴を高めるためか、いろいろな機能が付加されています。
これらの背景のためか、PDFを攻撃に悪用する際は以前から多いのですが、ここのところ、その傾向が高まってきています。

• 多くの攻撃でPDFを悪用
  さまざまな統計がありますが、ある調査によると、悪意のある攻撃の68%は電子メールを介して行われるということです。
  そして、PDFベースの攻撃は現在、悪意のある電子メール添付ファイル全体の22%を占めています。
• リンクの悪用
  直接的にPDFのなかに悪意あるコードを埋め込むのではなく、リンクをPDFに含めておいて、リンク先に悪意ある内容を配置する手法が増加しています。
  • URL回避テクニック
    リンクを悪事に使用しようとすると、今度はそのリンクを疑わしくないようにする必要が生じます。
    ここで出てくるのがURL回避テクニックです。
    Bing、LinkedIn、GoogleのAMP URLなどのよく知られたリダイレクトサービスを使用することで、検出を回避しようとする場合があります。
    PDFにQRコードを埋め込み、被害者に携帯電話でスキャンするよう促すという作戦もあります。
    このアプローチの場合、安全の確保は携帯電話側で行う必要があります。
    PDFを開いた環境側の安全のための機構で対策することは非常に難しいでしょう。
  • 静的解析の回避
    PDFには、いくつかのリンクを実現することができる機能が搭載されています。
    そのなかのひとつに注釈機能があります。
    これはなんらかの単語を説明するような形式で表示されるのですが、この機能を利用する場合、その注釈でリンクされる内容は静的分析ツールが認識しにくい方法でエンコードされる場合があります。
    このため、この方法を脅威アクターが選択すると、防御側での対策は難しいものとなります。
  • 機械学習の回避
    テキストではなく、テキストの内容を画像としてPDFに含めて内容を伝えるようにすると、人間が相手の場合は効果は同じなのですが、機械的な判定ではOCRで判別しないと同じ内容が得られないなど、検出される可能性を下げる効果として悪用できる技法となります。
    また、文字の色を工夫して見えない状態にする、極端に小さな文字を使用して表示する、などの方法を使用する場合、機械学習で使用するモデルによっては、その文字列を認識できない状態にすることもできそうです。

これら以外にも、ファイルを隠ぺいして表示上は問題ないように見えても、脅威アクターの用意したデータを持ち込む手法などの前述の方式とは別の手法も確認されています。
ちなみに、PDFにはJavaScriptを含めて利用する機能がありますが、この悪用方法は現時点ではセキュリティソリューションでの検出率が高くなってきているため、脅威アクターの注目するものではなくなっているようです。

PDFは非常に高機能な文書仕様です。
まだまだ悪用が可能な便利機能が確認されてくるかもしれません。
悲しいですが、高度な機能は しばしば危険と隣り合わせということなのかもしれないですね。

The Weaponization of PDFs : 68% of Cyber attacks begin in your inbox, with 22% of these hiding in PDFs

https://blog.checkpoint.com/research/the-weaponization-of-pdfs-68-of-cyberattacks-begin-in-your-inbox-with-22-of-these-hiding-in-pdfs/