ニュース

「Flash Player」の最新アップデート適用した後もゼロデイ脆弱性を抱えたまま、複数国の外務省への標的型攻撃で悪用

 米Adobe Systemsは13日、「Flash Player」のセキュリティアップデートをリリースした。ただし、このアップデートを適用しても修正されない脆弱性が存在し、すでに複数国の外務省を狙った標的型攻撃で悪用されていることをトレンドマイクロ株式会社が指摘している。

 アップデートしたFlash Playerの最新バージョンは、Windows版・Mac版のデスクトップランタイムが「19.0.0.207」。また、Google ChromeのWindows版・Mac版・Linux版・Chrome OS版やWindows 10のMicrosoft Edge/Internet Explorer 11、Windows 8.1/8のInternet Explorer 11/10の各ブラウザーに同梱されているFlash Playerも「19.0.0.207」となる。このほか、Linux版が「11.2.202.535」、Windows版・Mac版の延長サポート版が「18.0.0.252」。

 「Adobe AIR」のデスクトップランタイム、SDKおよびコンパイラなども「19.0.0.213」にアップデートされた。

 修正された脆弱性の危険度のレーティングは、4段階中で最も高い“critical”。また、アップデート適用の優先度は、Linux版とAIRを除き、3段階中で最も高い“Priority 1”となっており、システム管理者によって直ちに適用されること(例えば72時間以内)が推奨されている。一方、Linux版とAIRは“Priority 3”で、システム管理者が判断したタイミングで適用することが推奨されている。

 インストールされているFlash Playerのバージョンは、AdobeのFlash Playerについてのページにアクセスすることで確認できる。

 最新バージョンでは、CVE番号ベースで13件の脆弱性を修正。一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)によると、脆弱性を突く細工を施したコンテンツをユーザーに開かせることで、リモートの第三者がFlash Playerを不正終了させたり、任意のコードを実行させたりする可能性があるとしている。

 一方、トレンドマイクロは、数年以上前から活動が確認されている一連の標的型サイバー攻撃「Pawn Storm作戦」の最新の攻撃において、Flash Playerの脆弱性が悪用されていることを確認したと発表。同社が解析したところ、Flash Playerのバージョン「19.0.0.185」および「19.0.0.207 」に影響を与える脆弱性であることが判明しているという。すなわち、今回リリースされたセキュリティアップデートでも修正されず、“ゼロデイ脆弱性”の状態にあることになる。

 また、Pawn Storm作戦の直近の事例では、複数国の外務省が標的型メールを受け取っており、本文内に記載されたURLにアクセスすると、Flash Playerのゼロデイ脆弱性を突く攻撃コードが仕込まれたウェブサイトに誘導されると説明。そのURLは、トレンドマイクロが4月に報告したNATOやホワイトハウスを標的にした攻撃で使われていたURLと類似しているとし、同作戦において各国の外務省が格好の標的になっていると指摘している。

 なお、トレンドマイクロによれば現時点で、日本の外務省など、日本国内において今回の攻撃の被害は確認されていないという。ただし、脆弱性の情報が明らかになれば、脆弱性攻撃ツール(エクスプロイトキット)への実装などにより、広範囲の攻撃に悪用される可能性も考えられるとし、今後注意が必要だとしている。

 トレンドマイクロでは、Flash Playerの利用者がとりうる一般的なセキュリティ対策について、下記のような項目を挙げている。

  • 不正なウェブサイトへのアクセスを防ぐセキュリティ製品を利用する。
  • 脆弱性対策機能が搭載されたセキュリティ製品を利用する。
  • Adobe Systemsから有効なアップデートプログラムが提供され次第、できるだけ早期に適用する。

【追記 2015/10/15 18:30】
 Adobeは14日、この脆弱性(CVE-2015-7645)についてのセキュリティ情報を公開し、これを修正するセキュリティアップデートを10月19日に始まる週に公開する予定だと発表した(本誌10月15日付関連記事『来週また「Flash Player」のセキュリティアップデートあり、標的型攻撃で悪用中の脆弱性が存在』)。

(永沢 茂)