Flash Playerのゼロデイ脆弱性、発覚前に韓国と日本で被害の発生も

　トレンドマイクロは、8日に公開されたFlash Playerのアップデートで修正された脆弱性が、脆弱性の発覚前に韓国と日本に限定した攻撃で利用されていたことを、同社の公式ブログで伝えた。

　8日に提供が開始されたFlash Playerのアップデートでは、計36件の脆弱性を修正しているが、このうちの脆弱性「CVE-2015-5119」は、アップデート公開前から情報が出回っていたことが確認されている。

　トレンドマイクロによると、CVE-2015-5119はイタリアの「Hacking Team」から流出した情報から確認されたもの。情報には攻撃を実行するための攻撃コードも含まれており、犯罪者が攻撃を行うために使用するさまざまなエクスプロイトキットにも、既にこの攻撃コードが含まれているという。

　トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックによると、この攻撃コードは韓国と日本に限定した攻撃で利用されており、攻撃はHacking Teamの漏えい事件前に実行されていたという。

　トレンドマイクロでは、この攻撃を7月1日に初めて確認。確認した攻撃コードは、漏えいにより公開されたコードと非常によく似ており、攻撃はHacking Teamが提供したツールやコードにアクセスした何者かによって実行されたとものだと分析している。

　攻撃の概要としては、6月下旬に韓国の1人のユーザーが攻撃の対象となり、誘導されたウェブサイトに今回の脆弱性を悪用するファイルがホストされていた。脆弱性を利用した攻撃が成功すると、バイナリファイルがダウンロードされ、最終的にはダウンローダーとして不正なファイルやプロセスを生成する。

　また、攻撃ファイルがホストされていたドメインにアクセスしたユーザーは他にもいることが確認されており、その多くは韓国のユーザーだが、1人は日本のユーザーだった。この不正活動は6月22日始まっており、これらのユーザーが攻撃の対象であったかは確認できていないが、その可能性はあると思われるとしている。

　トレンドマイクロでは、確認した攻撃コードは、Hacking Teamの漏えい事例で分析したものと構造が似ており、攻撃で利用された検体は不正なファイルをダウンロードするが、漏えい事例で確認されたコードはダウンロードを行わない点が唯一の違いだと説明。この攻撃は、Hacking Teamで確認された一連の攻撃コードを利用して実行されたと考えられ、純粋に技術面から見ると、コードは非常によく記述されており、漏えいしたコードからさまざまなユーザーを狙った攻撃を仕掛ける方法を習得した攻撃者がいる可能性があると指摘している。

　Adobe Systemsでは、8日にFlash Playerの最新バージョンを公開しており、今回の脆弱性を含む複数の脆弱性の修正を行っている。トレンドマイクロでは、Flash Playerを利用するすべてのユーザーに対して、できるだけ迅速にアップデートを行うよう呼び掛けている。