IPA(情報処理推進機構)は2日、コンテンツ再生ソフト「Adobe Flash Player」の脆弱性を突く攻撃が国内で拡大しており、感染するとネットバンキングのユーザー情報を奪われる恐れがあるとして、注意を呼び掛けた。この脆弱性はすでに修正プログラムが公開されており、更新すれば被害を受ける恐れはない。
IPAは先月、Webを閲覧するだけで DoS 攻撃や任意のコードを実行される可能性がある脆弱性がFlash Player に存在し、アプリケーションが異常終了したり、パソコンが制御されたりするおそれがあると警告していた。今月2日の更新版では、この脆弱性を悪用した感染攻撃が国内で拡大しているとし、至急、修正プログラムを適用するよう呼びかけている。
■閲覧するだけで感染の恐れ(ドライブバイダウンロード攻撃)
セキュリティベンダーのシマンテックは、5月30日付の公式ブログで、Flash Player の脆弱性を悪用し、銀行口座情報を狙う攻撃が大規模に行われていることを明らかにした。同社調査によると、この攻撃の90%以上は日本のユーザーを標的に仕掛けられている。
最近、日本の大手旅行代理店、ブログサービス、動画共有サービスなどの正規Webサイトが相次いで改ざんされた。これらのサイトを閲覧したユーザーはドライブバイダウンロード攻撃により、パソコンにインストールされているFlash Playerが古いバージョンのままであった場合、「Infostealer.Bankeiya.B」に感染させられてしまう。このウイルスはネットバンキングで使われるユーザー情報を収集し、盗み取る。
■最新版かどうかを確認し、旧版であれば更新を
アドビシステム社は先月14日、Flash Playerの最新版を公開している。最新版に更新していれば、脆弱性を突く攻撃を受けてもウイルスに感染する恐れはない。最新版は、Windows版とMac版が「13.0.0.214」、Linux版が「11.2.202.359」。
システムにインストールされているFlash Playerのバージョンは、次のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。
・Flash Playerのバージョン確認(アドビ)
http://www.adobe.com/jp/software/flash/about/
最新版は同社サイトでダウンロードできる。
・Flash Playerのダウンロード(アドビ)
http://get.adobe.com/jp/flashplayer/
Windows 8/8.1搭載のInternet Explorer 10/11用と、Google Chrome用のFlash Playerについては、自動的に更新が行われる。
(2014/06/02 ネットセキュリティニュース)
【関連URL】
・更新:Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515)(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html
・Adobe Flash の脆弱性を悪用して日本のユーザーの銀行口座情報を狙う攻撃(シマンテック)
http://www.symantec.com/connect/ja/blogs/adobe-flash-2