Chromeで発生した「Adobe Acrobat」自動インストール問題の真相：「Adobe Acrobat」の「Chrome」用拡張機能の教訓から

2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱（ぜいじゃく）性が見つかった。この問題の教訓を考える。

　2017年1月「Adobe Acrobat Reader DC」のパッチ適用時、Windowsユーザーの「Google Chrome」に、WebページをPDFに変換する拡張機能「Adobe Acrobat」が自動的にインストールされ、多くの技術専門家やプライバシー専門家から批判を浴びた。どこに問題があったのか。ユーザーはどう対処すべきなのか。

　タイムリーなパッチ適用によってソフトウェアを常に最新の状態に保つことは、重要なITセキュリティ対策だ。だが多くのユーザーにとって、最新のセキュリティパッチをきちんとインストールしていくのは大変だ。そのため、今ではほとんどのソフトウェアベンダーが、ユーザーのマシンにパッチを自動的にプッシュするようになっている。

　Adobeは、毎月第2火曜日に自社製品のセキュリティアップデートを公開しており、それらはデフォルト設定では自動的にインストールされる。2017年1月10日に公開されたAdobe Acrobat Reader DCのアップデートは、29件の脆弱（ぜいじゃく）性を修正したが、それと同時に、Windows PCのGoogle Chromeに拡張機能のAdobe Acrobatもひそかにインストールした。ユーザーには、インストールをブロックするオプションは提供されておらず、この拡張機能は変更履歴にも記載がなかった。

　プライバシー専門家とユーザーは直ちにAdobeを批判した。この拡張機能はユーザーの許可なくインストールされただけでなく、デフォルトで匿名のテレメトリデータをAdobeに送信していたからだ。

　この拡張機能への不満を記したレビューが非常に多かったため、Googleのセキュリティ調査チーム「Project Zero」のリサーチャーであるタビス・オーマンディ氏は、この拡張機能のコードを調査した。すると、Document Object Model（DOM）ベースのクロスサイトスクリプティング（XSS）の脆弱性が存在し、JavaScriptコードが特権付きで実行される恐れがあることが分かった。その時点でChromeウェブストアの統計は、この拡張機能が3000万回以上インストールされたことを示していた。これだけユーザーがいれば、脆弱性を悪用しようとする者にとって魅力的なターゲットになる。

　この拡張機能は、WebページをPDFファイルに変換するものだが、ユーザーは、1月10日公開のAdobe Acrobat Reader DCのアップデートがインストールされた後で、最初にGoogle Chromeを開いた際に、この拡張機能に初めて気づいた。拡張機能が追加されたことをユーザーに知らせ、これを有効にするか、Google Chromeから削除するかを確認するプロンプトが表示されたからだ。