署名した人が信用できるかどうか、という話ではありません。
PDF文書は多くのところで使われていると思います。
PDF文書は他の編集可能な種類のドキュメントファイルに比べて、内容が書き換わっていないことを期待する人が多い文書形式だと思います。
そしてPDF文書には署名機能もあります。
このため、署名されたPDF文書を受け取った人は、その文書は署名した人が署名したときの状態が維持されていることを期待します。
でも、ここが安心できない、という話です。
PDF文書のシャドーアタックというものがあります。
ドイツにある大学の方が命名した攻撃手法だそうです。
この攻撃にはいくつかの亜種というか変異した手法があるようなのですが、いずれのケースでもPDF文書の署名を維持したままで内容を変更できる、というものです。
PDF文書の表示ができるアプリケーションにはいろいろなものがありますが、調査によると29種類のPDF閲覧アプリケーションのうちの実に16種類がこの攻撃に対して脆弱だったそうです。
この問題は脆弱性です。
この脆弱性に関する情報とパッチは2020年5月12日にアドビによって公開されました。
パッチの公開から半年以上が経過していますが、前述の29種類の閲覧アプリケーションのうちの11種類には、まだパッチが適用されていないということです。
ファイルの入手経路を確認する、ファイルの改ざん防止機構の搭載を確認する、アプリケーションはなるべく新しいものを使用する、など、できることはいろいろとあります。
しかしそれだけでは、必要十分ではないのかもしれません。
では今、私たちには、何が必要なのでしょうか。
参考記事(外部リンク):Shadow Attacks Let Attackers Replace Content in Digitally Signed PDFs
thehackernews.com/2021/02/shadow-attacks-let-attackers-replace.html
この記事をシェア |
---|