Adobe が2011年に 更新プログラムを公開し、修正済とされた脆弱性「CVE-2011-2461」は、2015年3月、セキュリティリサーチャー Luca Carettoni 氏および Mauro Gentile 氏の調査により、依然として特定の影響を Webサイトへ及ぼしていることが判明しました。
この影響の詳細は、彼らのブログ記事で公表されています。本稿では、この問題を確認しながら、Webサイトの所有者とエンドユーザに対して、どのような影響を及ぼすかについて説明します。
■どのような問題か
問題の脆弱性は、ソフトウェア開発キット「Adobe Flex SDK」に存在していました。このキットは、通常、Flash 基盤のインターネットアプリケーション作成の際に利用されます(現在は「Apache Software Foundation(ASF)」の所有)。この脆弱性は、注意事項の詳細を精読しない場合、「修正プログラムを Adobe Flex SDK に適用するだけ」で問題解決したと思われる可能性があります。しかしこれは解決策の一部に過ぎず、実際は(企業の場合) IT部門だけではなく、他の部門、特にアプリケーションや Webサイトの開発者の部門も、ホストしている Flashファイル(拡張子SWF)を確認する必要がありました。この点ついて、Adobe のセキュリティ情報では以下のように記載されています。
Adobe Flex SDK に存在する深刻な脆弱性が確認されました。(中略)この脆弱性により、Flexアプリケーションで「クロスサイトスクリプティング(XSS)」が実行される可能性があります。(中略)ソフトウェアを更新し、ご使用のアプリケーション内に SWFファイルがある場合、脆弱性が存在するか確認してください。存在する場合は、下記リンクの「Solution」のリンク先の手順とツールに従い、脆弱性を抱える SWFファイルを更新してください。
この記載で Adobe は、Flex SDK の更新と同時に、使用するアプリケーション内の SWF ファイルに脆弱性が存在する可能性も確認し、その上で修正を施すべきことを明確に述べています。問題は、Flex SDK が未修正である限り、脆弱性を抱えた SWFファイル が作成されてしまうことです。こうして作成された SWFファイルは、他の Webサイト上で同一生成元のクロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF)を用いた攻撃に利用される可能性があります。
つまり、ユーザは、不正なWebサイトへ誘導され、そこで仕組まれた不正リクエストにより、正規の Webサイトから脆弱性を抱えた Flashファイルが読み込まれ、その Webサイト上から、クッキーとして保存された認証情報やその他の情報等が窃取されることになります。
■攻撃者は、この脆弱性をどのように利用するのか
攻撃者は、ユーザにリンクをクリックするよう促し、不正なWebサイトに誘導します。そして、その不正なWebサイト上で Flash のオブジェクトを読み込ませた後、脆弱性を抱えた SWFファイルがホストされた、ユーザの信頼するWebサイトから、問題の脆弱性の抱えたFlashファイルを読み込ませます。この脆弱性を抱えた Flashファイルにより同一生成元ポリシーが回避されるため、不正なWebサイトとの異なるドメイン間での相互作用が可能になります。
この点について Carettoni 氏と Gentile 氏は次のように述べています。「実際、脆弱性の影響を受ける Flash Player の動画に同一生成元のリクエストを実行させ、そのレスポンスを攻撃者に返すことは可能です。この際の HTTPリクエストは、クッキーを含んで、攻撃対象のドメインから発行されているため、HTTPレスポンスには、 ユーザの個人情報や、さらには CSRF対策のトークンまで含まれている可能性があります。」
■この脆弱性によって、ユーザはどのような影響を受けるのか
Webサイトの所有者としても、エンドユーザとしても、この脆弱性の影響を受ける可能性があります。Webサイトの所有者としては、その Webサイトの閲覧するユーザがこの脆弱性を利用した攻撃を受ける可能性があります。クッキーとして保存された閲覧時のセッション情報や、CSRF対策トークン等が窃取され、Webサイトの所有者としてそのような情報窃取の責任を負うことになります。エンドユーザとしては、個人情報窃取の被害に見舞われ、さらに第三者がユーザーになりすまして Webサイト上での取引を実行する可能性があります。
なお、この被害は、ご利用の Adobe Flash Player のバージョン に関係なく、脆弱性を抱えた Flashファイルが存在するかぎり発生する点も注意が必要です。
■推奨される対策
Webサイトの管理者は、テストツール「ParrotNG」を使用して Webサーバの Flash ファイルをスキャンすることができます。脆弱性を抱えたファイルが確認された場合、2つの選択肢があります。
- 修正されたバージョンの Adobe Flexを使用して Flash ファイルを再コンパイルする
- 再コンパイルを避けたい場合は、Adobe より提供されたツールを使用して脆弱性を抱えた SWFファイルを修正する
Adobe より提供されたツールは、ParrotNG の代わりとして使用することもできます。このツールの具体的な使用法については、こちらのリンクをご参照下さい。
エンドユーザ側の対策としては、不正なWebサイトの被害者にならないための注意事項が有効です。リンクをクリックする際は注意を払い、とりわけソーシャルメディアやチャット経由で受信したリンクには、細心の注意が必要です。 Flash を無効にすることも有効です。
■トレンドマイクロの対策
弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション」(ウイルスバスター コーポレートエディション用オプション製品)をご利用のお客様は、以下のフィルタを適用することにより、問題の脆弱性を利用した攻撃から保護されます。
- 1004866 – Adobe Flex SDK Cross Site Scripting Vulnerability (CVE-2011-2461)
参考記事:
翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)