Adobe Flashの新たなゼロデイ脆弱性を確認、不正広告に利用

トレンドマイクロは、Adobe Flash Player に存在するゼロデイ脆弱性を新たに確認し、不正広告(malvertisement)経由で攻撃が実行されていることを確認しました。このゼロデイ脆弱性「CVE-2015-0313」は、Adobe Flash Player の最新バージョンに影響を与えます。弊社の初期解析によると、難読化技術と感染フローの類似性から、この脆弱性は「Angler exploit kit(Angler EK)」を利用して実行された可能性があることが示唆されています。

弊社は、人気の動画共有サイト「Dailymotion」(dailymotion.com)を訪れたユーザがいくつかの Webサイトに誘導された後、最終的にエクスプロイトコードが組み込まれた hxxp://www.retilio.com/skillt.swf に誘導されることを確認しました。ユーザが Webサイトを訪れると、不正広告が読み込まれるように設計されているため、自動的に感染することになります。また、感染は Webサイトのコンテンツそのものではなく、広告のプラットフォームから実行されるため、Dailymotion の Webサイトに限定されない可能性があります。弊社の製品は、このエクスプロイトコードを「SWF_EXPLOIT.MJST」として検出し、上述の URL をブロックします。

弊社は、この攻撃を 1月14日から監視していますが、不正な URL に関連した IPアドレスへのアクセス数が 1月27日頃からに急増したことを確認しています。弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によると、この攻撃に関連した不正なサーバにアクセスしたユーザの大半は、米国のユーザとなっています。

図1:不正な URL に関連した IPアドレスへのアクセス数
図1:不正な URL に関連した IPアドレスへのアクセス数

本稿は、この脅威の深刻性について個人ユーザおよび企業に警告するものです。弊社ではこのエクスプロイトコードに関連した 3,294件のアクセスをこれまでに確認しています。また、この脆弱性を利用した攻撃がすでに確認されているため、このゼロデイ脆弱性を利用した新たな攻撃により、保護されていないシステムが侵害される危険性が高くなっています。この脆弱性は Flash の最新バージョン 16.0.0.296 に影響を与えるため、ユーザは修正バージョンが公開されるまでは Flash Player を無効にすることを検討して下さい。Adobe は今回の事例がゼロデイ脆弱性であることを確認しており、この脆弱性に対応した新しい更新プログラムが今週中に公開される予定です。詳細については、Adobe から公開されるセキュリティ情報をご参照下さい。

弊社のネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」のサンドボックスや「Script Analyzer」エンジンにより、他のエンジンやパターンの更新がなくても、この脅威をその挙動で検出することができます。ブラウザ向け脆弱性利用対策技術「ブラウザガード」を搭載する「Trend Micro Security」や「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」、「ウイルスバスター ビジネスセキュリティ」といったネットワーク端末へのセキュリティ対策製品は、エクスプロイトコードをホストする URL にアクセスするタイミングでエクスプロイトコードをブロックします。「ブラウザガード」はまた、ブラウザや関連したプラグインを狙うエクスプロイトコードから保護します。

これは、今月確認された Adobe Flash に存在する最新のゼロデイ脆弱性です。弊社は数週間前に、Adobe Flash Player に存在するゼロデイ脆弱性「CVE-2015-0311」に関する 2つのブログ記事「Adobe Flash Playerのゼロデイ脆弱性への攻撃を確認」および「Flash Playerに存在する脆弱性「CVE-2015-0311」の徹底解析」を公開しています。また 2014年に確認された脆弱性に関する記事では、Adobe Flash に存在する脆弱性の数が 56 から 76 に増加したことを報告しました。

弊社では、この脆弱性に関する新しい情報や展開について引き続き報告していきます。また、Adobe Flash の更新プログラムが公開され次第、技術的な解析について報告します。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、このエクスプロイトコードを拡散させる不正URL へのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、不正プログラムを検出し、削除します。

協力執筆者:Joseph C. Chen

【更新情報】

2015/02/03 15:00 弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。

  • 1006468 – Adobe Flash Player Unspecified Vulnerability (CVE-2015-0313)

参考記事:

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)