Adobe Flash Playerの脆弱性を悪用した「SWF_DLOADER」ファミリの脅威

 5月28日、TrendLabs Malware Blog(英語ブログ:Flash Bugs Exploited in Latest Mass Compromise)にて米アドビ社(Adobe Systems)のFlash Playerの脆弱性を突いたウイルス「SWF_DLOADER」ファミリの検出対応完了(ウイルスパターンファイル 5.305.00 以降)と流通状況について報告させていただきました。すでに英語で記事をご確認いただいている方もいらっしゃるのではないでしょうか。

 今回は英語ブログではお伝えできなかった最新情報も踏まえ、その動向についてご紹介させていただきます。

「SWF_DLOADER」ファミリの脅威

 アドビ社は5月27日、Flash Playerの脆弱性を突いたとみられる攻撃コード流通情報の報告を受けたことを同社のブログ(注釈 1.)上で発表しています。

 TrendLabsの調査においても、Flash Playerの脆弱性を突き、SWFファイル(Flash形式のデータファイル)を表示させることで、他の不正プログラムをダウンロードする攻撃コードの流通を確認しています。

図1. 正規サイトに対する「SWF_DLOADER」ファミリの攻撃シナリオ
図1. 正規サイトに対する「SWF_DLOADER」ファミリの攻撃シナリオ

 SWFファイルとは、インターネット上のアニメーション、動画コンテンツに多く採用されているデータファイルです。その視聴に必要となるFlash Playerの普及率はアドビ社の発表によれば、98%を超えるとされています。(注釈 2.)

 普段ブラウザのアドオンとして利用することが多いFlash Player。その存在を意識することは少ないかもしれませんが、影響を受ける対象システムは大規模に及ぶと想定し、今度の対応策について検討する必要があるといえそうです。

攻撃タイプ ベンダ発表(発表日:2008/04/08) 脆弱性情報
会社名 識別番号 情報のタイトル CVE(JVN) 深刻度
受動 アドビシステムズ株式会社 APSB08-11 Potential Flash Player issue CVE-2007-0071 6.8(警告)
トレンドマイクロ製品による脆弱性緩和策
  ソリューション バージョン 検出名、検出別名(2008/05/28時点)
ウイルスパターンファイル 5.305.00 SWF_DLOADER.ZTS
Downloader.Swif.C(Symantec)
Trojan-Downloader.SWF.Small.x(Kaspersky)
スパイウェアパターンファイル N/A N/A
ネットワークパターンファイル N/A N/A
セキュリティ診断パターンファイル N/A N/A

正規サイト改ざん攻撃の進化系

 TrendLabsでは、今回のFlash Playerゼロデイ攻撃を先に報告されているアジア圏、イタリア圏を標的とした正規サイトに対する改ざん攻撃の進化系であると分析しています。

 進化系と位置づけたポイントは次の通りです。

  • 正規サイトに悪意あるスクリプトを埋め込む際にSQLインジェクションと呼ばれる攻撃手法が悪用されている。
  • 標的アプリケーションをAdobe Flash Playerに変更。

 改ざんと推測される正規サイトの数は、この記事執筆最中にも、新たに被害報告件数を伸ばしています。ここでは、これまでの調査において特定された「SWF_DLOADER」ファミリがアップロードされていたドメイン名を紹介させていただきます。

{BLOCKED}nans.net
bb.{BLOCKED}iang.com
d34s.{BLOCKED}qawd.cn
fla.{BLOCKED}nmwk.cn
{BLOCKED}oopp.cn
user1.{BLOCKED}2-27.net
user1.{BLOCKED}e080.net
www.{BLOCKED}sina.cn
www.{BLOCKED}ta11.cn
www.{BLOCKED}cime.net
www.{BLOCKED}ne001.com
www.{BLOCKED}kjrc.cn
www.{BLOCKED}e530.cn
www.{BLOCKED}lnie.com
www.{BLOCKED}1111.cn
www.{BLOCKED}1122.cn
www.{BLOCKED}i123.org
www.{BLOCKED}i117.cn
www.{BLOCKED}inan.com
図2 「SWF_DLOADER」ファミリのアップロードが確認されているドメイン名リスト
不用意なURLクリックによる危険性を回避するため、全角文字にて記載しています。

 下記の図はサーバが設置してあると推定されるを場所Googleマップでポインティングしたものです。

図3. 「SWF_DLOADER」ファミリアップロードサーバの分布地図
図3. 「SWF_DLOADER」ファミリアップロードサーバの分布地図

標的はオンラインゲーム情報

 現在確認されているAdobe Flash Playerの脆弱性を悪用した攻撃の標的は絞込みが行われているようです。その多くは、オンラインゲームに関する情報取得を狙ったスパイウェアにたどり着きます。「インターネット脅威マンスリーレポート – 2008年4月度」の報告にもあるとおり、再びオンラインゲーム関連の不正活動が活発化しています。今回確認されたケースでは、次のオンラインゲームが標的とされています。

 標的とされるゲームは今後拡大していく可能性があります。達成感を味わうために多くの時間と労力を必要とするオンラインゲーム。特に不特定多数の人が利用するインターネットカフェなどで楽しむ際には、注意が必要であるといえます。

■攻撃に対する対応

 2008年5月29日現在、アドビ社は本攻撃は、2008年4月8日にリリースされた Flash Player 9.0.124.0 で修正済みの脆弱性によるものであることを公表しています。

 このため、ご利用コンピュータのFlash Playerバージョンを確認し、最新バージョンへの更新作業を行うことが望まれます。この脆弱性はブラウザには依存せず、Internet Explorer(以下 IE)のほか、FirefoxやOperaでも影響を及ぼします。このため、IE以外のブラウザを利用している場合においても確認作業を怠るべきではありません。

 アドビ社ではFlash Playerのバージョンを確認するための専用サイト「Adobe Flash Player のバージョンテスト」ページを用意しています。同サイトを利用し、脆弱性に対する耐性を試験することも有効です。

図4. Flash Playerのバージョンテストのページ
図4. Flash Playerのバージョンテストのページ
画面中央「Your Player Version:」箇所にインストールされているバージョンが表示。

 脆弱な環境を特定したものの、直ちにバージョンアップ作業が困難な場合もあります。このような場合、セキュリティ対策製品による緩和策を施すことが有効です。トレンドマイクロでは、一連の攻撃脅威から保護する技術を既に投入しています。

 先の記載にもあるとおり、悪意あるSWFファイルは「SWF_DLOADER」ファミリとしてウイルスパターンファイルにより、その検出に対応しています。また、「Webレピュテーション」を利用することにより、当該サイトを悪意あるページとしてその接続を拒否する機能を提供しています。

■Webレピュテーションの搭載製品

製品名 対策場所
InterScan Gateway Security Appliance ゲートウェイ(アプライアンス)
InterScan Web Security Appliance ゲートウェイ(アプライアンス)
ウイルスバスター コーポレートエディション サーバ/クライアント
ウイルスバスター クライアント

※InterScan Web Security Suiteはバージョン 3.1で対応予定です。2008年6月2日(月)からの出荷開始を予定しております。
※製品によって、対応している機能が異なります。

 正規サイトが改ざんされるケースはユーザの警戒心も低いため非常に危険であり、逆に攻撃者側から見れば狙いどころといえます。セキュリティ対策製品を上手く活用し、安全なインターネット環境でお楽しみください。

■関連情報


* 注釈1. Adobe Product Security Incident Response Team (PSIRT):「Potential Flash Player issue」(2008年05月27日)
* 注釈2. Adobe Systems Incorporated.:「Flash Player Penetration