修正されたばかりのWindows OLEの脆弱性、Flash Playerの脆弱性を狙い、不正なプログラムを強制的にインストールさせようとする攻撃が確認されている。パッチ未適用の方は今すぐ適用していただきたい。適用していない場合、知らない間にウイルスに感染する恐れがある。
■「パッチ公開後」が危ない理由
脆弱性は、システムやアプリの安全性を脅かす欠陥のこと。セキュリティ対策が万全の家でも、壁にポッカリ穴が空いていたら、簡単に中に入ることができる。この壁に空いた穴のような欠陥が脆弱性で、悪用すると不正なプログラムをパソコン内に勝手にインストールできてしまえるものもある。
脆弱性を修正すれば、これを悪用して不正なプログラムを送り込むことはできなくなるので、パッチさえ適用していれば安全だ。しかし、パッチ公開後にパッチを適用しないでいると、以前よりも極端に安全性が低くなってしまう。穴を塞ぐと、どこを塞いだのかという情報が攻撃者に知られてしまうため、攻撃方法を開発されてしまう可能性が高まるからだ。
■「Windows OLE」「Flash Player」の脆弱性を突く攻撃コード
上述の危険が、現実のものとなった。毎月第二水曜日は、マイクロソフトが月例で行っているセキュリティ更新プログラム(パッチ)の公開日だ。アドビもこの日に合わせてパッチを公開することが多く、先月に引き続き今月も「Flash Player」がアップデートされた。その約1週間後の先週、修正されたばかりのWindows OLEの脆弱性を悪用する攻撃コードと、Flash Playerの脆弱性を悪用する攻撃コードが、相次ぎエクスプロイトキットに組み込まれたと報告された。
■エクスプロイトキットとは
エクスプロイトキットとは、さまざまな脆弱性攻撃を簡単に仕掛けることができるようにする攻撃用ツールのこと。闇市場で売買されており、改ざんされた正規サイトの誘導先などに、こうしたツールで構築された攻撃サイトを設置し、ユーザーをウイルスに感染させようとする。エクスプロイトキットに組み込まれたということは、脆弱性が見つかったレベルや、攻撃コードが見つかったレベルよりもさらに深刻で、攻撃コードが多数の攻撃者の手に渡り、無差別攻撃が行われる可能性が高まったことを意味する。今月のパッチをまだ適用していない方は、一刻も早く適用していただきたい。
■「CVE-2014-6332」と「CVE-2014-8440」
「MS14-064」で修正されたWindows OLEの脆弱性には、パッチ公開前にすでに悪用されていた、いわゆるゼロデイ攻撃の脆弱性(CVE-2014-6352)もあるが、今回組み込まれていることが判明したのは、修正時には悪用されていなかった方(CVE-2014-6332)だ。Flash Playerでは、計18件の脆弱性が修正されたが、悪用されたのはその中のひとつ(CVE-2014-8440)。セキュリティ研究者kafeine氏の報告によれば、前者は、「Sweet Orange」、後者は「Angler」というエクスプロイトキット組み込まれたという。
■修正パッチの適用法
Windows OLEの脆弱性については、Windows Updateを通じて修正パッチが配布されている。特に設定を変更していなければ自動的に更新される。Flash Playerについては、下記のバージョン確認ページにアクセスすると、インストールされているバージョンと最新バージョン(25日時点では15.0.0.223)を確認できる。最新版は「Flash Playerダウンロードセンター」で配布されている。ただし、Windows 8/8.1に搭載されているInternet Explorer 10/11用のFlash Playerについては、Windows Updateを通じての配布となる。Google Chrome用のFlash Playerについては、Google Chromeの最新版(38.0.2125.122以降)に組み込まれており、標準状態であれば自動的に更新される。
(2014/11/25 ネットセキュリティニュース)
【関連URL】
・徹底検証:深刻な脆弱性「CVE-2014-6332」、簡単に利用される恐れ(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/10346
・CVE-2014-6332 (Internet Explorer) and Exploits Kits[英文](Malware don't need Coffee)
http://malware.dontneedcoffee.com/2014/11/cve-2014-6332.html
・CVE-2014-8440 (Flash up to 15.0.0.189) and Exploit Kits[英文](Malware don't need Coffee)
http://malware.dontneedcoffee.com/2014/11/cve-2014-8440.html
・Flash Playerのバージョン確認(アドビ)
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード(アドビ)
http://get.adobe.com/jp/flashplayer/