「Adobe Acrobat Reader」がセキュリティチェックをブロックか ～イスラエルの会社が指摘

Minerva Labsのブログ

　「Adobe Acrobat Reader」にはウイルス対策ソフトによるチェックをブロックする処理が組み込まれており、セキュリティ上の問題があるという。セキュリティ事業を展開するイスラエルのMinerva Labsが、6月20日（現地時間）付けで公開したブログで指摘している。

　「Acrobat Reader」は内部で「Chromium Embedded Framework」（CEF）を用いているが、「CEF」には特定のDLLと競合する問題があり、それを回避するためにブロックリストがハードコードされている。

「CEF」が互換性回避のためにハードコードしているDLLのリスト。Adobeは「Acrobat Reader」へ「CEF」を拡張するにあたり、これを大幅に拡張している

　ところが、Adobeは2022年3月以降、「CEF」を自社製品に組み込む際にこのブロックリストを独自に拡張し、著名なセキュリティソフトのDLLを大量に追加しているという。つまり、セキュリティソフトのDLLインジェクション（挿入）を無効化している可能性がある。Minerva Labsによると、以下のようなセキュリティソフトが「Acrobat Reader」で追加ブロックされているという。

• Trend Micro
• BitDefender
• AVAST
• F-Secure
• McAfee
• 360 Security
• Citrix
• Symantec
• Morphisec
• Malwarebytes
• Checkpoint
• Ahnlab
• Cylance
• Sophos
• CyberArk
• Citrix
• BullGuard
• Panda Security
• Fortinet
• Emsisoft
• ESET
• K7 TotalSecurity
• Kaspersky
• AVG
• CMC Internet Security
• Samsung Smart Security ESCORT
• Moon Secure
• NOD32
• PC Matic
• SentryBay

　セキュリティソフトのDLLインジェクションを無効化すると、万が一「Acrobat Reader」がマルウェアに乗っ取られた際に、そのプロセスではセキュリティソフトによるチェックが働かなくなる恐れがある。たとえOSにセキュリティソフトを導入していても、ユーザーが「Acrobat Reader」を信頼して利用していれば、そこがセキュリティスキャンの抜け穴となってしまうわけだ。「Acrobat Reader」は多くのユーザーを抱えるアプリで、マルウェアの標的になることも多いため、そうした危険性は無視できない。

　Minerva LabsがAdobeにコメントを求めたところ、「Acrobat Reader」がサンドボックス機能を実装するために採用している「CEF」には互換性問題があり、それを回避して安定性を維持するために行っている措置であるという旨の回答が得られたとのことだが、Minerva Labsはこの仕様に対し「破滅的な結果を引き起こしうる」として警鐘を鳴らしている。