Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Flash脆弱性の悪用が活発 - EK組込やコード公開で高まる危険

「Adobe Flash Player」のセキュリティアップデートが頻繁に公開されている。6月は2度のアップデートが実施されたが、こうしたアップデートをうっかり放置すると、たちまち攻撃を受けるリスクが上昇するので注意が必要だ。

そもそも「セキュリティアップデート」の公開は、脆弱性がどこに含まれているか、攻撃者にヒントを与える側面がある。修正部分を分析することで、脆弱性の特定が可能となるためだ。攻撃の発生リスクは、「セキュリティアップデート」公開後に「より高まる」こととなる。

こうした傾向は、最近の「Adobe Flash Player」に対する攻撃動向にも顕著に表れている。アップデート公開後、数日から数週間でエクスプロイトキットに組み込まれ、さらに攻撃コードがインターネット上に出回り、だれでも容易に悪用できる状況となる。

たとえば、米国時間5月12日にAdobe Systemsより公開されたアップデート「APSB15-09」で修正された脆弱性「CVE-2015-3090」。公開当時、悪用は確認されていなかったが、5月後半にはエクスプロイトキット「Angler」で悪用されていることが判明した。

6月後半には攻撃コードが公開され、現在は誰でも容易に入手できる状態となっている。同脆弱性を検証したソフトバンク・テクノロジーによれば、公開された攻撃コードを用いれば簡単に攻撃可能で、攻撃を受けた際の影響も大きいとして、警鐘を鳴らしている。

「CVE-2015-3090」の例は決して特殊ではない。米国時間6月9日に公開された「APSB15-11」にて修正された「CVE-2015-3105」に関しては、さらに早いペースで推移している。公開よりわずか1週間でエクスプロイトキット「Magnitude」による攻撃が開始。6月後半には攻撃コードが公開された。

またゼロデイ脆弱性「CVE-2015-3113」が判明したことから、6月23日に急遽同月2度目のセキュリティアップデートを提供している。過去の脆弱性「CVE-2015-3043」が再発したものと見られており、6月後半には早速「Magnitude」に組み込まれたとの指摘が出ている。攻撃コードの公開も時間の問題だろう。

頻繁に修正が実施されているが、いずれも攻撃を受ければ大きなダメージを受けるかもしれない脆弱性。「アップデート漏れ」が生じないよう自動更新を活用するなど対策が求められる。組織内においては、旧バージョンがインストールされた端末が存在しないか、目を光らせておく必要があるだろう。

(Security NEXT - 2015/07/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、月例パッチで脆弱性67件を解消 - 2件でゼロデイ攻撃が発生
「Adobe Flash Player」のアップデートが公開 - 深刻な脆弱性を解消
北朝鮮悪用のFlash脆弱性、広く悪用される状態に - 海外中心に攻撃が拡大、国内でも
4月のMS月例パッチ、「緊急」22件含む脆弱性65件を修正
「Adobe Flash Player」のアップデートが公開 - 深刻な脆弱性3件など修正
「Adobe Flash Player」に2件の深刻な脆弱性 - 悪用は未確認
MS、3月の月例パッチを公開 - 74件の脆弱性を解消
Flashゼロデイ脆弱性に北朝鮮関与 - 11月中旬より悪用
MS、ブラウザ同梱版「Flash Player」向けに定例外更新
Adobe、Flashゼロデイ脆弱性に対処した定例外更新をリリース - できる限り早急に更新を