Flash Playerにゼロデイ脆弱性の報告：アドビが公開した最新のセキュリティアップデートを適用していても影響

　アドビシステムズは米国時間の2015年10月13日（日本時間14日）、「Adobe Reader」「Acrobat」と、「Adobe Flash Player」向けのセキュリティアップデートを公開した。いずれも深刻な脆弱（ぜいじゃく）性を修正するものだが、Adobe Flash Playerについてはこのアップデートを適用しても悪用可能な脆弱性が存在するとの指摘があり、いっそうの注意が必要だ。

　今回のアップデートでは、Adobe Reader/Acrobatに関しては50以上の脆弱性を、Adobe Flash Playerについても13種類の脆弱性を修正している。アップデートされた最新ソフトウエアは以下の通りだ。

Adobe Reader/Acrobat向けアップデート（APSB15-24）

• Adobe Acrobat Reader DC Continuous (2015.008.20082) およびそれ以前
• Adobe Acrobat Reader DC Classic (2015.006.30060) およびそれ以前
• Adobe Reader XI (11.0.12) およびそれ以前
• Adobe Reader X (10.1.15) およびそれ以前
• Adobe Acrobat DC Continuous (2015.008.20082) およびそれ以前
• Adobe Acrobat DC Classic (2015.006.30060) およびそれ以前
• Adobe Acrobat XI (11.0.12) およびそれ以前
• Adobe Acrobat X (10.1.15) およびそれ以前

Adobe Flash Player向けアップデート（APSB15-25）

• Adobe Flash Player Desktop Runtime 19.0.0.207（WindowsおよびMacintosh）
• Adobe Flash Player Extended Support Release 18.0.0.252（WindowsおよびMacintosh）
• Adobe Flash Player for Google Chrome 19.0.0.207（Windows、Macintosh、LinuxおよびChromeOS）
• Adobe Flash Player for Microsoft Edge and Internet Explorer 11 19.0.0.207
• Adobe Flash Player for Internet Explorer 10 and 11 19.0.0.207
• Adobe Flash Player for Linux 11.2.202.535
• AIR Desktop Runtime 19.0.0.213（WindowsおよびMacintosh）
• AIR SDK 19.0.0.213（Windows、Macintosh、AndroidおよびiOS）
• AIR SDK & Compiler 19.0.0.213（Windows、Macintosh、AndroidおよびiOS）

　中には、細工を施したWebサイトを閲覧するだけでDoS状態（Denial of Service、ホストに高負荷を掛ける状態）に陥り、プログラムが異常終了したり、任意のコードが実行され、攻撃者にPCを制御されたりする恐れがあるため、早期の適用が望ましい。

　しかしトレンドマイクロは同日、Adobe Flash Playerのゼロデイ脆弱性を狙う攻撃が確認されたとのブログ記事を公開した。

　これによると、2007年ごろから活動していると見られる標的型攻撃キャンペーン「Pawn Storm」を行っている攻撃者が、Flashのゼロデイ脆弱性を悪用して攻撃を行ったことが確認された。この脆弱性に対するパッチは公開されておらず、Adobe Flash Player 19.0.0.185および19.0.0.207が影響を受ける。つまり、公開されたばかりのセキュリティアップデートを適用していても脆弱な状況に置かれてしまうという。

　Pawn Stormは、複数の国の外務省に相当する組織を主に標的とした攻撃キャンペーンだ。2015年4月に報告された攻撃では、北大西洋条約機構（NATO）やアメリカ大統領官邸（ホワイトハウス）を標的に、最新のニュースに関連するリンクが記されたメールが送付され、リンクをクリックすると脆弱性を悪用する攻撃コードが置かれたWebサイトに誘導されるようになっていた。

　10月14日に確認された攻撃に使われたURLは、上記4月の攻撃に利用されたURLに酷似していたという。

　この情報を受け、JPCERTコーディネーションセンター（JPCERT/CC）では、ゼロデイ脆弱性に対するパッチが提供されるまでの間、例えばIEの環境では「『インターネット オプション』からセキュリティタブを開き、インターネットゾーンおよびローカルイントラネットゾーンのセキュリティのレベルを『高』に設定する」といった回避策を実行するよう推奨している（ただしこの場合、動作に支障が生じる可能性がある）。

　2015年7月には、国内の複数のサイトが改ざんされ、Flashの脆弱性を狙う攻撃コードが仕込まれてしまう事件が発生した。このときにならうならば、一時的にFlashを無効化することも検討すべきだろう。

（2015年10月15日追記）米アドビシステムズは米国時間の10月14日、この脆弱性（APSA15-05/CVE-2015-7645）に関するセキュリティアドバイザリを公開した。この脆弱性は最新のAdobe Flash Player 19.0.0.207以前などに存在し、限定的な標的型攻撃に攻撃コードが用いられたという報告を確認。10月19日の週に問題を修正するアップデートを公開する予定という。

（2015年10月19日追記）米アドビシステムズは米国時間の10月16日、Adobe Flash Playerのセキュリティアップデートを公開した。ゼロデイ攻撃に悪用された「CVE-2015-7645」の他、CVE-2015-7647、CVE-2015-7648という三つの脆弱性を修正するもので、同社のWebサイトから入手できるほか、Flashの自動更新機能でもアップデートが可能だ。適用後の最新バージョンは19.0.0.207となる。