Flashのゼロデイ脆弱性「CVE-2016-1019」、既にランサムウェア拡散での利用を確認

Adobeは、2016年4月5日(米国時間)、セキュリティアドバイザリを公開。4月7日(米国時間)、Adobe Flash Player に存在するゼロデイ脆弱性「CVE-2016-1019」に対応する緊急の更新プログラムをリリースしました。問題の脆弱性の影響を受けるバージョンは、20.0.0.306およびそれ以前のバージョンとなり、トレンドマイクロでは、脆弱性攻撃ツール(エクスプロイトキット)である「Magnitude Exploit Kit」が攻撃に利用可能であることも確認しています。利用者は、直ちに更新プログラムを適用してください。

弊社の解析によると、問題の脆弱性「CVE-2016-1019」は、「type confusion(型の取り違え)」が原因となる脆弱性で、影響を受けるバージョンは、20.0.0.306およびそれ以前のバージョンとなります。この脆弱性利用により感染PC がクラッシュを引き起こす一方で、21.0.0.182 および 21.0.0.197 上では、21.0.0.182 以降に導入されている緩和策により、問題のエクスプロイトコードは実行されないことを確認しています。

図1:Magnitude Exploit Kit をホストしているドメイン
図1:Magnitude Exploit Kit をホストしているドメイン

■ Magnitude Exploit Kit によるゼロデイ攻撃。暗号化型ランサムウェア「Locky」に誘導

トレンドマイクロは、Adobe社の緊急更新プログラム公開以前の2016年3月31日の時点で、弊社クラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」の統計により、問題の脆弱性「CVE-2016-1019」を突く攻撃が「Magnitude Exploit Kit」により可能であることを確認し、既に Adobe社にも報告していました。このゼロデイ脆弱性が利用されると、「Cryptoランサムウェア(暗号化型ランサムウェア)」である「Locky」に誘導されます。「Locky」は、2月中旬に日本でメール経由の拡散が確認されたほか、米国の病院のシステムを感染させ高額な身代金を要求したことでも知られる暗号化型ランサムウェアです。今回確認された攻撃に日本から誘導された割合は、現時点で全体の 0.05%に留まっています。しかし既に脆弱性攻撃ツールで攻撃可能となっているため、今後はより多くの攻撃で今回の Flash脆弱性が利用されることは間違いありません。脆弱性の攻撃を防ぐために直ちに更新プログラムを適用して下さい。

図2:Magnitude Exploit Kit の影響を受けた国(期間:2016年3月31日~4月6日)
図2:Magnitude Exploit Kit の影響を受けた国(期間:2016年3月31日~4月6日)

■ トレンドマイクロの対策

エクスプロイトキットを利用する攻撃者は、攻撃に使う脆弱性の更新を怠りません。また、Adobe Flash Player に存在する脆弱性は常に攻撃者の的になっています。

トレンドマイクロ製品をご利用のユーザは、エクスプロイトキットによる脆弱性を利用した攻撃から守られています。弊社のネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」のサンドボックスや「Script Analyzer」エンジンにより、他のエンジンやパターンの更新がなくても、この脅威をその挙動で検出することができます。ブラウザ向け脆弱性利用対策技術「ブラウザガード」を搭載する個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」および法人向けクライアント用総合セキュリティ対策製品「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」により、不正なファイルを検出し、関連する不正なURLをすべてブロックすることによって個人ユーザおよび企業をこの脅威から保護します

サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro Virtual Patch for Endpoint(旧Trend Micro 脆弱性対策オプション)」をご利用のお客様は、以下のルールを迅速に適用されることを推奨します。

  • DPIルール:1007572 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2016-1019)

参考記事:

翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)