PDF ドキュメントまたはフォームには、多くの場合、署名 (デジタル署名) が付けられます。これは文書の信頼性を確認することを目的としています。デジタル証拠は主に政府機関で使用され、Amazon などのビジネス部門でもよく使用されます。しかし現在、当局からのPDF 署名の偽造にも利用できるセキュリティ上のギャップが発見されました。
偽の PDF 署名: なぜこの脆弱性が今になって発見されたのでしょうか?
これまで、PDF 署名の安全性はほとんどチェックされていませんでした。ルール大学ボーフムはこの話題をさらに詳しく調査し、衝撃的な事実を発見した。 Adobe Reader などのさまざまな閲覧プログラムが影響を受けます。大学チームは、ほぼすべてのプログラムで署名検証を回避することができました。
どのプログラムが影響を受けますか?
- Adobe Acrobat Reader の Windows および Mac OS バージョン
- Foxit リーダー
- DocuSignも影響を受ける
影響を受けるプログラムの完全なリストはここで見つけることができます。
Amazon の例: ギャップはどのようにして発見されましたか?
チームは、PDF ドキュメントを変更することで、支払うべき請求書を費用の払い戻しに変換することに成功しました。この例では、大学チームは Amazon からの有効な署名を使用して 1 兆ドルの払い戻しを受け取ることに成功しました。研究者らはオンライン企業アマゾンのデジタル署名を偽造した。
これをさらに進めると、自分の PDF 署名が思ったよりも簡単に偽造される可能性があります。
セキュリティギャップは解消されました
ルール大学ボーフムによると、研究者らは2018年10月に連邦安全保障情報技術局(BSI)にセキュリティギャップについて通知した。研究者らはこの脆弱性の解決に貢献したと言われているが、現在使用している閲覧プログラム(Adobe Readerなど)のバージョンを確認することを推奨している。この問題についてご質問がある場合は、ソフトウェアの製造元にお問い合わせください。
PDF 署名の偽造: できること
研究者らはデジタル署名を偽造することに成功した。特に当局は重要な文書の信頼性を確認するために署名を使用するため、この話題は爆発的です。幸いなことに、研究者らはセキュリティの脆弱性を報告しているため、影響を受けるプログラムには少なくとも対策を講じる機会があります。署名が偽造された可能性があると思われる場合は、製造元に問い合わせてください。
簡単な方法で PDF ファイルを変換する方法も知りたいかもしれません。異なる PDF ドキュメントを管理する場合は、 複数の PDF ファイルを 1 つに結合できます。