5月28日、TrendLabs Malware Blog(英語ブログ:Flash Bugs Exploited in Latest Mass Compromise)にて米アドビ社(Adobe Systems)のFlash Playerの脆弱性を突いたウイルス「SWF_DLOADER」ファミリの検出対応完了(ウイルスパターンファイル 5.305.00 以降)と流通状況について報告させていただきました。すでに英語で記事をご確認いただいている方もいらっしゃるのではないでしょうか。
今回は英語ブログではお伝えできなかった最新情報も踏まえ、その動向についてご紹介させていただきます。
「SWF_DLOADER」ファミリの脅威
アドビ社は5月27日、Flash Playerの脆弱性を突いたとみられる攻撃コード流通情報の報告を受けたことを同社のブログ(注釈 1.)上で発表しています。
TrendLabsの調査においても、Flash Playerの脆弱性を突き、SWFファイル(Flash形式のデータファイル)を表示させることで、他の不正プログラムをダウンロードする攻撃コードの流通を確認しています。
|
|
SWFファイルとは、インターネット上のアニメーション、動画コンテンツに多く採用されているデータファイルです。その視聴に必要となるFlash Playerの普及率はアドビ社の発表によれば、98%を超えるとされています。(注釈 2.)
普段ブラウザのアドオンとして利用することが多いFlash Player。その存在を意識することは少ないかもしれませんが、影響を受ける対象システムは大規模に及ぶと想定し、今度の対応策について検討する必要があるといえそうです。
攻撃タイプ | ベンダ発表(発表日:2008/04/08) | 脆弱性情報 | |||
会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
受動 | アドビシステムズ株式会社 | APSB08-11 | Potential Flash Player issue | CVE-2007-0071 | 6.8(警告) |
トレンドマイクロ製品による脆弱性緩和策 | |||||
ソリューション | バージョン | 検出名、検出別名(2008/05/28時点) | |||
ウイルスパターンファイル | 5.305.00 | SWF_DLOADER.ZTS Downloader.Swif.C(Symantec) Trojan-Downloader.SWF.Small.x(Kaspersky) |
|||
スパイウェアパターンファイル | N/A | N/A | |||
ネットワークパターンファイル | N/A | N/A | |||
セキュリティ診断パターンファイル | N/A | N/A |
正規サイト改ざん攻撃の進化系
TrendLabsでは、今回のFlash Playerゼロデイ攻撃を先に報告されているアジア圏、イタリア圏を標的とした正規サイトに対する改ざん攻撃の進化系であると分析しています。
- 日本語圏を標的とした攻撃事例:「正規サイトを“不正サイト”へと変貌させるWebサイト改ざん」
- イタリア圏を標的とした攻撃事例:「イタリアを標的とした大規模な正規サイトに対する改ざん」
- アジア圏を標的とした攻撃事例:「Chinese Weekend Compromise」
- アジア圏を標的とした攻撃事例:「It’s Not Over: Asian Sites Injected with Nasty Code」
進化系と位置づけたポイントは次の通りです。
- 正規サイトに悪意あるスクリプトを埋め込む際にSQLインジェクションと呼ばれる攻撃手法が悪用されている。
- 標的アプリケーションをAdobe Flash Playerに変更。
改ざんと推測される正規サイトの数は、この記事執筆最中にも、新たに被害報告件数を伸ばしています。ここでは、これまでの調査において特定された「SWF_DLOADER」ファミリがアップロードされていたドメイン名を紹介させていただきます。
{BLOCKED}nans.net bb.{BLOCKED}iang.com d34s.{BLOCKED}qawd.cn fla.{BLOCKED}nmwk.cn {BLOCKED}oopp.cn user1.{BLOCKED}2-27.net user1.{BLOCKED}e080.net www.{BLOCKED}sina.cn www.{BLOCKED}ta11.cn www.{BLOCKED}cime.net www.{BLOCKED}ne001.com www.{BLOCKED}kjrc.cn www.{BLOCKED}e530.cn www.{BLOCKED}lnie.com www.{BLOCKED}1111.cn www.{BLOCKED}1122.cn www.{BLOCKED}i123.org www.{BLOCKED}i117.cn www.{BLOCKED}inan.com |
不用意なURLクリックによる危険性を回避するため、全角文字にて記載しています。 |
下記の図はサーバが設置してあると推定されるを場所Googleマップでポインティングしたものです。
|
|
標的はオンラインゲーム情報
現在確認されているAdobe Flash Playerの脆弱性を悪用した攻撃の標的は絞込みが行われているようです。その多くは、オンラインゲームに関する情報取得を狙ったスパイウェアにたどり着きます。「インターネット脅威マンスリーレポート – 2008年4月度」の報告にもあるとおり、再びオンラインゲーム関連の不正活動が活発化しています。今回確認されたケースでは、次のオンラインゲームが標的とされています。
- Defense of the Ancients
- PlayOnline.com
プレイオンライン:重要なお知らせ「Flash Playerの脆弱性にご注意ください」
標的とされるゲームは今後拡大していく可能性があります。達成感を味わうために多くの時間と労力を必要とするオンラインゲーム。特に不特定多数の人が利用するインターネットカフェなどで楽しむ際には、注意が必要であるといえます。
■攻撃に対する対応
2008年5月29日現在、アドビ社は本攻撃は、2008年4月8日にリリースされた Flash Player 9.0.124.0 で修正済みの脆弱性によるものであることを公表しています。
このため、ご利用コンピュータのFlash Playerバージョンを確認し、最新バージョンへの更新作業を行うことが望まれます。この脆弱性はブラウザには依存せず、Internet Explorer(以下 IE)のほか、FirefoxやOperaでも影響を及ぼします。このため、IE以外のブラウザを利用している場合においても確認作業を怠るべきではありません。
アドビ社ではFlash Playerのバージョンを確認するための専用サイト「Adobe Flash Player のバージョンテスト」ページを用意しています。同サイトを利用し、脆弱性に対する耐性を試験することも有効です。
|
画面中央「Your Player Version:」箇所にインストールされているバージョンが表示。 |
脆弱な環境を特定したものの、直ちにバージョンアップ作業が困難な場合もあります。このような場合、セキュリティ対策製品による緩和策を施すことが有効です。トレンドマイクロでは、一連の攻撃脅威から保護する技術を既に投入しています。
先の記載にもあるとおり、悪意あるSWFファイルは「SWF_DLOADER」ファミリとしてウイルスパターンファイルにより、その検出に対応しています。また、「Webレピュテーション」を利用することにより、当該サイトを悪意あるページとしてその接続を拒否する機能を提供しています。
■Webレピュテーションの搭載製品
|
※InterScan Web Security Suiteはバージョン 3.1で対応予定です。2008年6月2日(月)からの出荷開始を予定しております。
※製品によって、対応している機能が異なります。
正規サイトが改ざんされるケースはユーザの警戒心も低いため非常に危険であり、逆に攻撃者側から見れば狙いどころといえます。セキュリティ対策製品を上手く活用し、安全なインターネット環境でお楽しみください。
■関連情報
- TrendLabs Malware Blog:「Flash Bugs Exploited in Latest Mass Compromise」(2008年5月28日付け)
- セキュリティ関連ニュース:「インターネット脅威マンスリーレポート – 2008年4月度」
- Trend Micro Security Blog : 「ウイルスに狙われたオンラインゲームアカウント」(2007年11月30日付け)
- トレンドマイクロのウイルス解析/防御技術「Webレピュテーション」
* 注釈1. Adobe Product Security Incident Response Team (PSIRT):「Potential Flash Player issue」(2008年05月27日)
* 注釈2. Adobe Systems Incorporated.:「Flash Player Penetration」