Flash脆弱性の悪用が活発 - EK組込やコード公開で高まる危険

「Adobe Flash Player」のセキュリティアップデートが頻繁に公開されている。6月は2度のアップデートが実施されたが、こうしたアップデートをうっかり放置すると、たちまち攻撃を受けるリスクが上昇するので注意が必要だ。

そもそも「セキュリティアップデート」の公開は、脆弱性がどこに含まれているか、攻撃者にヒントを与える側面がある。修正部分を分析することで、脆弱性の特定が可能となるためだ。攻撃の発生リスクは、「セキュリティアップデート」公開後に「より高まる」こととなる。

こうした傾向は、最近の「Adobe Flash Player」に対する攻撃動向にも顕著に表れている。アップデート公開後、数日から数週間でエクスプロイトキットに組み込まれ、さらに攻撃コードがインターネット上に出回り、だれでも容易に悪用できる状況となる。

たとえば、米国時間5月12日にAdobe Systemsより公開されたアップデート「APSB15-09」で修正された脆弱性「CVE-2015-3090」。公開当時、悪用は確認されていなかったが、5月後半にはエクスプロイトキット「Angler」で悪用されていることが判明した。

6月後半には攻撃コードが公開され、現在は誰でも容易に入手できる状態となっている。同脆弱性を検証したソフトバンク・テクノロジーによれば、公開された攻撃コードを用いれば簡単に攻撃可能で、攻撃を受けた際の影響も大きいとして、警鐘を鳴らしている。

「CVE-2015-3090」の例は決して特殊ではない。米国時間6月9日に公開された「APSB15-11」にて修正された「CVE-2015-3105」に関しては、さらに早いペースで推移している。公開よりわずか1週間でエクスプロイトキット「Magnitude」による攻撃が開始。6月後半には攻撃コードが公開された。

またゼロデイ脆弱性「CVE-2015-3113」が判明したことから、6月23日に急遽同月2度目のセキュリティアップデートを提供している。過去の脆弱性「CVE-2015-3043」が再発したものと見られており、6月後半には早速「Magnitude」に組み込まれたとの指摘が出ている。攻撃コードの公開も時間の問題だろう。

頻繁に修正が実施されているが、いずれも攻撃を受ければ大きなダメージを受けるかもしれない脆弱性。「アップデート漏れ」が生じないよう自動更新を活用するなど対策が求められる。組織内においては、旧バージョンがインストールされた端末が存在しないか、目を光らせておく必要があるだろう。

（Security NEXT - 2015/07/07 ）ツイート

Flash脆弱性の悪用が活発 - EK組込やコード公開で高まる危険

関連リンク

PR

関連記事