3月から続いている一連の正規サイト改ざん問題で、編集部では中国に設置された攻撃サーバーに、新たに「Flash Player」の脆弱性を悪用した攻撃コードが仕掛けられたことを確認した。攻撃コードは、改ざんされた国内の一部のサイトからも自動的に実行されるようになっており、さらなる被害の拡大が懸念される。
一連の攻撃ではこれまで、Real PlayerやMDAC(Microsoft Data Access Components) などさまざまな脆弱性が悪用されていたが、Flash Playerが狙われるのは今回が初めて。編集部の調査では、遅くとも27日深夜には、攻撃コードが用意されていたと推察する。
当該攻撃サイトでは、Flash Playerを使ってローダーとなるムービーファイル(SWF)を再生。その中で、インストールされているFlash Playerのバージョンを識別し、環境に応じた攻撃用のSWFをロードし脆弱性攻撃を仕掛ける。29日未明時点の攻撃用SWFは、Internet ExplorerとFirefoxそれぞれの、Flash Player「9,0,47,0」と「9,0,115,0」の計4種類。「9.0.124.0」用のSWFはなく、Flash Playerが最新版の場合には攻撃を受けない。
調査した国内のある公式サイトでは、トップページがすでに汚染されており、大量のSCRIPTタグが埋め込まれていた。このSCRIPTタグは、調査時のGoogle検索ではウェブ全体で30万ページ以上ヒットしていたが、検索でヒットするのは埋め込みに失敗し文字列として表示されている部分。調査したサイトの場合も、多くはタグとして機能していないものの、同じページの中のいくつかはSCRIPTタグとして機能しており、JavaScriptが有効なブラウザで閲覧した場合には、中国のサイトに設置された最初のコードが自動的に実行される危険な状態だった。攻撃は、そこからさらに別のスクリプトを実行して行く形で、複数のサイトを使い数段階にわたって行われる。その中のひとつに、新たにFlash Playerの攻撃コードが追加されていた。
一連のSQLインジェクションによるサイト改ざんでは、ブラウザのJavaScriptを無効にするだけで攻撃をブロックできる。ところが、JavaScriptやFlashは多くのサイトで当たり前のように使われており、これら抜きでは閲覧に支障が生じるサイトも多い。正規サイトの改ざんは、こうした事情を逆手に取ったものでもあり、サイトの運営者には十分な安全確保が求められる。
(2008/5/29 ネットセキュリティニュース)