Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Flash脆弱性の悪用が活発 - EK組込やコード公開で高まる危険

「Adobe Flash Player」のセキュリティアップデートが頻繁に公開されている。6月は2度のアップデートが実施されたが、こうしたアップデートをうっかり放置すると、たちまち攻撃を受けるリスクが上昇するので注意が必要だ。

そもそも「セキュリティアップデート」の公開は、脆弱性がどこに含まれているか、攻撃者にヒントを与える側面がある。修正部分を分析することで、脆弱性の特定が可能となるためだ。攻撃の発生リスクは、「セキュリティアップデート」公開後に「より高まる」こととなる。

こうした傾向は、最近の「Adobe Flash Player」に対する攻撃動向にも顕著に表れている。アップデート公開後、数日から数週間でエクスプロイトキットに組み込まれ、さらに攻撃コードがインターネット上に出回り、だれでも容易に悪用できる状況となる。

たとえば、米国時間5月12日にAdobe Systemsより公開されたアップデート「APSB15-09」で修正された脆弱性「CVE-2015-3090」。公開当時、悪用は確認されていなかったが、5月後半にはエクスプロイトキット「Angler」で悪用されていることが判明した。

6月後半には攻撃コードが公開され、現在は誰でも容易に入手できる状態となっている。同脆弱性を検証したソフトバンク・テクノロジーによれば、公開された攻撃コードを用いれば簡単に攻撃可能で、攻撃を受けた際の影響も大きいとして、警鐘を鳴らしている。

「CVE-2015-3090」の例は決して特殊ではない。米国時間6月9日に公開された「APSB15-11」にて修正された「CVE-2015-3105」に関しては、さらに早いペースで推移している。公開よりわずか1週間でエクスプロイトキット「Magnitude」による攻撃が開始。6月後半には攻撃コードが公開された。

またゼロデイ脆弱性「CVE-2015-3113」が判明したことから、6月23日に急遽同月2度目のセキュリティアップデートを提供している。過去の脆弱性「CVE-2015-3043」が再発したものと見られており、6月後半には早速「Magnitude」に組み込まれたとの指摘が出ている。攻撃コードの公開も時間の問題だろう。

頻繁に修正が実施されているが、いずれも攻撃を受ければ大きなダメージを受けるかもしれない脆弱性。「アップデート漏れ」が生じないよう自動更新を活用するなど対策が求められる。組織内においては、旧バージョンがインストールされた端末が存在しないか、目を光らせておく必要があるだろう。

(Security NEXT - 2015/07/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

Adobe、複数製品に対してアップデート - 「Flash Player」「Acrobat」以外のユーザーも注意を
MS月例セキュリティ更新がリリース、脆弱性74件を修正 - 2件でゼロデイ攻撃を確認済み
「Adobe Flash Player」に深刻な脆弱性 - 悪用は未確認
「Adobe Flash Player」にアップデート - セキュリティ修正は含まず
macOS向けに「.NET Framework」を用いた攻撃 - 「Gatekeeper」を回避
MS月例パッチ 、脆弱性74件を修正- 悪用確認済みのゼロデイ脆弱性にも対応
「Adobe Flash Player」にアップデート - 情報漏洩の脆弱性を解消
2019年最初のMS月例パッチ - 脆弱性49件を解消
「Flash Player」がアップデート - セキュリティ修正含まず
画像ファイルに悪用コード隠す「ステガノグラフィ」 - 無償ツールが拡大後押しか