Adobe ReaderのJavaScript機能を無効に
よく調べていなかったが、JavaScriptを仕込む最近のウイルスはPDFに関わるJavaScriptらしい。PDF Readerの中のデフォルトでオンになっている「Acrobat JavaScript」をオフにすることを推奨しているとのことである。
高度化するPDF悪用の攻撃、回避するポイントは?(ITmedia) アドビ:ユーザーにAdobe ReaderのJavascript機能を無効にすること(ZDNet Japan 4.29)
そもそもAcrobat JavaScriptなんて、どれだけ使っているものなのか。ReaderはPDFファイルを表示するだけなので、AcrobatでPDFファイルを作成するときに使うものだろう。しかし現在のようにPDF文書がAcrobatを通さずに、Office2007でも可能になったし、OpenOffice.org、GoogleドキュメントやTeXなどでは、独自にPDF文書が作成できてしまう。その読み取り表示にはJavaScriptなどは当然不要だろう。一部のAcrobat文書のために、Acrobat JavaScriptがオンにしてあるというのなら、デフォルトはオフにしておいてほしいものである。てっきりブラウザ側のJavaScriptをオフにしておくべき、ゆゆしき事態かと思っていた。
Adobeは、AIRやらActionScriptやらでJavaScriptを使っている。本質的にその技術はクライアント系のものだからだろう。しかしその中のスクリプトが踏み台のようにされるのでは堪ったものではない。まるでかつてのOfficeのマクロウイルスのようなものだ。いちいち実行の度にセキュリティの警告を出されるのでは、見たり開発する気も失せてくる。とりあえずは末端のユーザレベルでJavaScriptオフにしておいてくださいとのことだが、やはり第一義的にはAdobeが何とかすべき問題だろう。
公文書化しているPDF文書だけに(それゆえ狙われているのだろうが)、いちいち疑ってかかるのも面倒なものである。作成した本人は気がつかないところで不正なJavaScriptコードが埋め込まれることになっているのだろう。これは、ユーザ側としてはAcrobat JavaScriptは問答無用でオフの一手であり、仮にAcrobat JavaScriptが必要な文書だったら、そもそもそのような文書は読まない、作らないを徹底した方がよさそうだ。残念ながらAcrobat JavaScriptは使われないようになるだろう。