アップデート：
ウェブサイトとゼロデイ・フラッシュ・プレイヤー問題シマンテックがゼロデイ攻撃のクレームを撤回

危険度：中

2008年6月2日


【アップデート】

米国時間の5月28日（水）、ライブセキュリティではAdobeのフラッシュ・プレイヤーに見られるゼロデイ問題を攻撃者達が悪用している件について注意を呼び掛けた。悪性のウェブサイトにユーザーを誘導すると、攻撃者はこのセキュリティ問題を悪用し、ユーザーの権限を備えた状態でそのコンピューターでコードを実行できるようになる。最悪の場合、攻撃者は被害者のPCを完全に操ることが可能になる。

ライブセキュリティが5月にリリースしたアラートでは、このフラッシュ・プレイヤー問題はシマンテックが当初考えたほど新しいものではない可能性があることを報告した。シマンテックのリサーチによると、Adobeの問題に似た欠陥にはすでにパッチが設けられているが、この新しい悪用方法はパッチを完全にインストールしたAdobeフラッシュ・プレイヤーにおいても影響を及ぼしているため、シマンテックはこのセキュリティ脅威をゼロデイ問題と見ている。

しかし、ライブセキュリティがアラートをリリースした翌日、シマンテックは同社のThreatcon情報をアップデートし、先のクレームを撤回、発見した悪用がゼロデイ問題ではなかったと説明した。フラッシュ・プレイヤーを製作するAdobeもまた、今回発見された悪用方法はフラッシュ・プレイヤーのバージョン9.0.124.0でパッチしたセキュリティ問題を利用するものであると承認している。

けれども、この悪用方法に対するAdobeやシマンテックの姿勢にかかわらず、ゼロデイのフラッシュ悪用方法がまだどこかに存在すると懸念するセキュリティ研究家達もいる。マカフィーはパッチされたバージョンのフラッシュを標的にしていることを示す[WIN 9,0,124,0i.swf]といったファイル名のフラッシュ悪用を見たと述べている。しかしマカフィーはそれを報告した翌日から、その特定の名称の悪用方法を見つけることができなくなったという。


この問題による影響は？

セキュリティ研究家達はこのゼロデイ・フラッシュの悪用方法が存在する可能性につき、現時点では議論の余地のない証拠を発見していない。しかし、Adobeがパッチをリリースしたにもかかわらず、フラッシュ・プレイヤーの脆弱性が攻撃者によって悪用されていることは認めている。ライブセキュリティが5月28日にリリースしたアラートでは、Adobeが4月にリリースしたパッチが攻撃からユーザーを保護するには充分ではないことに触れたが、現在の情報によると、4月9日に連絡したフラッシュ・プレイヤーのパッチをインストールしているのであれば、この攻撃の影響を受けることはないという。しかし、ネットワークでフラッシュ・コンテンツを利用する必要がないのであれば、攻撃がおさまるまではFireboxでSWFファイルをブロックすることを検討するといいだろう。SWFファイルをブロックする手順については、ライブセキュリティが過去に配信したセキュリティ・アラートを参照することを勧める。


【参考資料】

・ 5月28日にリリースしたライブセキュリティの関連記事（日本語）
・ 4月9日にリリースしたライブセキュリティの関連記事（日本語）
・ シマンテックのThreatconアドバイザリー（英語）


この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査され書かれた記事です。