Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Flash脆弱性の悪用が活発 - EK組込やコード公開で高まる危険

「Adobe Flash Player」のセキュリティアップデートが頻繁に公開されている。6月は2度のアップデートが実施されたが、こうしたアップデートをうっかり放置すると、たちまち攻撃を受けるリスクが上昇するので注意が必要だ。

そもそも「セキュリティアップデート」の公開は、脆弱性がどこに含まれているか、攻撃者にヒントを与える側面がある。修正部分を分析することで、脆弱性の特定が可能となるためだ。攻撃の発生リスクは、「セキュリティアップデート」公開後に「より高まる」こととなる。

こうした傾向は、最近の「Adobe Flash Player」に対する攻撃動向にも顕著に表れている。アップデート公開後、数日から数週間でエクスプロイトキットに組み込まれ、さらに攻撃コードがインターネット上に出回り、だれでも容易に悪用できる状況となる。

たとえば、米国時間5月12日にAdobe Systemsより公開されたアップデート「APSB15-09」で修正された脆弱性「CVE-2015-3090」。公開当時、悪用は確認されていなかったが、5月後半にはエクスプロイトキット「Angler」で悪用されていることが判明した。

6月後半には攻撃コードが公開され、現在は誰でも容易に入手できる状態となっている。同脆弱性を検証したソフトバンク・テクノロジーによれば、公開された攻撃コードを用いれば簡単に攻撃可能で、攻撃を受けた際の影響も大きいとして、警鐘を鳴らしている。

「CVE-2015-3090」の例は決して特殊ではない。米国時間6月9日に公開された「APSB15-11」にて修正された「CVE-2015-3105」に関しては、さらに早いペースで推移している。公開よりわずか1週間でエクスプロイトキット「Magnitude」による攻撃が開始。6月後半には攻撃コードが公開された。

またゼロデイ脆弱性「CVE-2015-3113」が判明したことから、6月23日に急遽同月2度目のセキュリティアップデートを提供している。過去の脆弱性「CVE-2015-3043」が再発したものと見られており、6月後半には早速「Magnitude」に組み込まれたとの指摘が出ている。攻撃コードの公開も時間の問題だろう。

頻繁に修正が実施されているが、いずれも攻撃を受ければ大きなダメージを受けるかもしれない脆弱性。「アップデート漏れ」が生じないよう自動更新を活用するなど対策が求められる。組織内においては、旧バージョンがインストールされた端末が存在しないか、目を光らせておく必要があるだろう。

(Security NEXT - 2015/07/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Adobe Flash Player」にアップデート - セキュリティ関連の修正含まず
MS、月例パッチで脆弱性62件を修正 - 「Windows ALPC」のゼロデイ脆弱性に対応
「Adobe Flash Player」の新版がリリース - 脆弱性1件を修正
MS、8月の月例パッチ公開 - 脆弱性2件でゼロデイ攻撃
「Adobe Flash Player」のアップデートがリリース - 脆弱性5件を解消
「Flash Player」にセキュリティアップデート、深刻な脆弱性を解消 - 悪用は未確認
7月のMS月例パッチが公開、脆弱性53件を修正 - 「緊急」は17件
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
MS、6月の月例パッチをリリース - 脆弱性1件が公開済み、悪用は未確認
【速報】「Adobe Flash Player」が緊急アップデート - すでにゼロデイ攻撃が発生