「Hacking Team」の情報漏えい事例：Flash Playerのゼロデイ脆弱性「CVE-2015-5119」、複数のエクスプロイトキットで追加を確認

トレンドマイクロは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックにより、「Angler Exploit Kit」および「Nuclear Exploit Kit」が、「Hacking Team」の情報漏えい事例で確認された Adobe Flash Player のゼロデイ脆弱性を利用するエクスプロイトコードを追加し、更新していたことを確認しました。さらに、セキュリティリサーチャーの Kafeine氏によると、「Neutrino Exploit Kit」も、このゼロデイ脆弱性を利用したエクスプロイトコードを追加したようです。

この問題の脆弱性は、「Hacking Team」から漏えいした情報の中で、その存在が確認されました。その後、Adobe は、この脆弱性を確認し、セキュリティ情報を公開しました（CVE-2015-5119）。Adobe はまた、現在使用されている　Flash Player のすべてのバージョンがこの脆弱性の影響を受ける可能性があると報告しています。

Adobe は 2015年7月8日（米国時間）、今回のゼロデイ脆弱性の修正プログラムを「APSB15-16」で公開しました。Flash Player を利用するすべてのユーザは、できるだけ迅速にこの修正プログラムを適用することを推奨します。弊社は、今月、Flash Player に存在する脆弱性がエクスプロイトキットにさらに頻繁に狙われていることを述べましたが、この傾向は当分続くように思われます。

図1：「Angler exploit kit」の HTTP GET ヘッダ

図2：「Nuclear exploit kit」の HTTP GET ヘッダ

弊社は、今回の脆弱性を利用して拡散される不正プログラムの 1つが、特に「Angler Exploit Kit」によって利用される「CtyptoWall 3.0」であることを特定しました。

図3：「Cryptowall」の脅迫文の例

トレンドマイクロ製品をご利用のユーザは、この脅威から守られています。弊社のネットワーク挙動監視ソリューション「Trend Micro Deep Discovery（トレンドマイクロ ディープディスカバリー）」のサンドボックスや「Script Analyzer」エンジンにより、他のエンジンやパターンの更新がなくても、この脅威をその挙動で検出することができます。ブラウザ向け脆弱性利用対策技術「ブラウザガード」を搭載する「ウイルスバスター クラウド」や「Trend Micro 脆弱性対策オプション（ウイルスバスター コーポレートエディション プラグイン製品）」、「ウイルスバスター ビジネスセキュリティ」といったネットワーク端末へのセキュリティ対策製品は、エクスプロイトコードをホストする URL にアクセスするタイミングでエクスプロイトコードをブロックします。「ブラウザガード」はまた、ブラウザや関連したプラグインを狙うエクスプロイトコードから保護します。

弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security（トレンドマイクロ ディープセキュリティ）」および「Trend Micro 脆弱性対策オプション（ウイルスバスター コーポレートエディション プラグイン製品）」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。

• 1006824 – Adobe Flash ActionScript3 ByteArray Use After Free Vulnerability

今回の Adobe Flash Player のゼロデイ脆弱性を利用するエクスプロイトコードの SHA1ハッシュ値は以下のとおりです。

• 03bc4a75626ca7e3c1b43b1c73d4f569c4805fcf
• 9e3223bc016c94b5b576e3489f8d9b6d979b8965

今回の漏えい事例、また脆弱性に関しては、下記の記事もご参照下さい。新しい情報が入り次第、追って更新します。

• 伊企業「Hacking Team」の情報漏えい事例：Flash Playerに存在する未修正の不具合を確認
  /archives/11851
• 「Hacking Team」の漏えい事例：Open Typeフォントマネージャの脆弱性の検証
  /archives/11866

【更新情報】

Hacking Team 関連の記事一覧