Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Flash脆弱性の悪用が活発 - EK組込やコード公開で高まる危険

「Adobe Flash Player」のセキュリティアップデートが頻繁に公開されている。6月は2度のアップデートが実施されたが、こうしたアップデートをうっかり放置すると、たちまち攻撃を受けるリスクが上昇するので注意が必要だ。

そもそも「セキュリティアップデート」の公開は、脆弱性がどこに含まれているか、攻撃者にヒントを与える側面がある。修正部分を分析することで、脆弱性の特定が可能となるためだ。攻撃の発生リスクは、「セキュリティアップデート」公開後に「より高まる」こととなる。

こうした傾向は、最近の「Adobe Flash Player」に対する攻撃動向にも顕著に表れている。アップデート公開後、数日から数週間でエクスプロイトキットに組み込まれ、さらに攻撃コードがインターネット上に出回り、だれでも容易に悪用できる状況となる。

たとえば、米国時間5月12日にAdobe Systemsより公開されたアップデート「APSB15-09」で修正された脆弱性「CVE-2015-3090」。公開当時、悪用は確認されていなかったが、5月後半にはエクスプロイトキット「Angler」で悪用されていることが判明した。

6月後半には攻撃コードが公開され、現在は誰でも容易に入手できる状態となっている。同脆弱性を検証したソフトバンク・テクノロジーによれば、公開された攻撃コードを用いれば簡単に攻撃可能で、攻撃を受けた際の影響も大きいとして、警鐘を鳴らしている。

「CVE-2015-3090」の例は決して特殊ではない。米国時間6月9日に公開された「APSB15-11」にて修正された「CVE-2015-3105」に関しては、さらに早いペースで推移している。公開よりわずか1週間でエクスプロイトキット「Magnitude」による攻撃が開始。6月後半には攻撃コードが公開された。

またゼロデイ脆弱性「CVE-2015-3113」が判明したことから、6月23日に急遽同月2度目のセキュリティアップデートを提供している。過去の脆弱性「CVE-2015-3043」が再発したものと見られており、6月後半には早速「Magnitude」に組み込まれたとの指摘が出ている。攻撃コードの公開も時間の問題だろう。

頻繁に修正が実施されているが、いずれも攻撃を受ければ大きなダメージを受けるかもしれない脆弱性。「アップデート漏れ」が生じないよう自動更新を活用するなど対策が求められる。組織内においては、旧バージョンがインストールされた端末が存在しないか、目を光らせておく必要があるだろう。

(Security NEXT - 2015/07/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

米当局、9月に脆弱性26件を悪用リストへ登録 - 直近2年で最多
先週注目された記事(2024年9月15日〜2024年9月21日)
「Windows」や「WebLogic」など脆弱性5件の悪用に注意
米当局、「Adobe Flash Player」脆弱性を悪用リストに追加 - 使用中止求める
2Qのインシデント件数、前四半期比6%減 - 「スキャン」半減
「LINEギフト」で出店者に不適切な情報提供 - 通信内容に送り主の情報も
脆弱性攻撃の8割超が「Office」狙い - いまだFlash狙いの攻撃も
「VMware vCenter Server」に2件の脆弱性 - アップデートが公開
さよなら「Adobe Flash Player」 - 2020年末でサポート終了
MS、月例パッチで脆弱性87件を修正 - 6件が公開済み