9月上旬には、アドビシステムズの「Adobe Reader」と「Flash Player」で、未修整の脆弱性を狙うゼロデイ攻撃が確認された。後発のFlash Playerの脆弱性は、9月20日にアップデートされたが、Adobe Readerは約1か月間にわたって放置状態が続き、細工した添付ファイルを開かせようとする標的型攻撃は、日本国内のユーザーも直撃。先週には、とうとう改ざんサイトの誘導先にも攻撃コードが実装される状態になった。
先の改ざん広告の誘導先では、Adobe Readerのゼロデイ攻撃は使われなかったようだが、別の改ざんサイトの誘導先で9月28日頃から、ゼロデイ脆弱性を悪用したドライブ・バイ・ダウンロード攻撃が確認されている。悪用されているのは、アドビが9月8日にアドバイザリをリリースした、フォントファイルの処理でバッファオーバーフローが発生する脆弱性(CVE-2010-2883)。昨日ようやく修正版がリリースされたので、必ずアップデートを実行していただきたい。
脆弱性が未修整のまま攻撃が始まってしまうゼロデイ攻撃の場合には、たとえ最新のソフトウェアを使用していても、攻撃を受ければセキュリティを突破され、ウイルスの侵入を許してしまうことになる。脆弱性の存在は通常、それを修正した後に公表されるのものだが、「第三者によって公表される」->「悪用方法が発見される」->「攻撃が始まる」->「攻撃コードが出回る」といった危険な状態が先行してしまった場合は特別で、ユーザーが回避策や軽減策をとれるように、各社がセキュリティアドバイザリをリリースする。アドバイザリが出るのは、危機が迫っているか、すでに危険な状態にある証なので、パソコンをお使いの方は、アップデート情報のみならず、各社からその都度出されるアドバイザリにも注意を払っていただきたい。
脆弱性の中には、問題のソフトウェアをアンインストールする以外に回避策がないものもあるが、設定の変更などで影響を軽減したり、ウイルス感染を回避できるものも多い。今回のAdobe Readerの脆弱性を突く細工されたPDFファイルの場合には、本通信9月10日付の記事でお伝えしたように、Adobe ReaderのAcrobat JavaScriptを無効に設定しておくのが有効な軽減策だ。脆弱性が存在しないのと同等の状態にはならないが、Acrobat JavaScriptの無効化によって、ファイルに埋め込まれた悪質なコードの実行が阻止でき、ウイルス感染を防ぐことができる。常にアドバイザリにも注意を払い、事前に回避策や軽減策をとっていれば、万が一攻撃を受けてもウイルス感染という最悪の事態が回避できるのだ。
Webサイトを通じたドライブ・バイ・ダウンロード攻撃は、ウイルスの主要な感染手段になっており、今回のようなゼロデイ攻撃もしばしば発生している。ウイルス感染の手段に悪用されそうな脆弱性については、本通信でもその都度積極的にとり上げ、回避策などをお伝えしているので、ぜひ参考にしていただきたい。
(2010/10/07 ネットセキュリティニュース)
【関連URL】
・ドライブ・バイ・ダウンロード攻撃によるAdobe Readerゼロデイ脆弱性の悪用(IBM Tokyo SOC Report)
https://www-950.ibm.com/blogs/tokyo-soc/entry/adobe_0day_20100928?lang=ja
・Adobe Readerのゼロデイ脆弱性を悪用する標的型攻撃(IBM Tokyo SOC Report)
https://www-950.ibm.com/blogs/tokyo-soc/entry/adobe_0day_20100922?lang=ja