アドビシステムズのコンテンツ再生ソフト「Flash Player」の未修正の脆弱性を悪用した攻撃が韓国で見つかり、同社やセキュリティ機関などが注意を呼びかけている。修正版は来週提供される予定だ。
この問題は、韓国インターネット振興院(KrCERT/CC)が1月31日に注意喚起したもので、アドビシステムズも1日、この問題に対するアドバイザリーを公開した。それらによると、Adobe Flash Playerの現行版である「28.0.0.137」以前のバージョンに、解放したメモリーを使用してしまう問題(CVE-2018-4878)があり、悪用されると任意のコードが実行されるおそれがある。
韓国のセキュリティ企業ハウリの研究センター長サイモン・チョイ氏の1日付ツイートによると、昨年11月中旬から主に北朝鮮に関する研究を行う韓国人に対し、この脆弱性を悪用した攻撃が行われているという。Microsoft Excelの文書ファイルとActiveX版Flash Playerを組み合わせた手口だ。現時点では限定的な攻撃のようだが、今後の攻撃拡大が懸念される。修正版がリリースされ次第、アップデートしていただきたい。
修正版が公開されるまでの間は、Flash Playerの一時的なアンインストールや無効化、自動実行の無効化(クリックアンドプレイレイ)などの対策も検討するとよい。現在確認されている文書ファイルを使った攻撃に対しては、操作を誤りさえしなければマルウェア(ウイルス)感染を防ぐことができる。
■細工したFlashコンテンツ入り文書への対処方法
Flash Playerは、主にブラウザ上でFlashコンテンツを再生する際に使われているが、Windows用のActiveX版に関しては、Windowsアプリから利用することもでき、Microsoft Officeなどの対応アプリの文書に埋め込むことが可能だ。このため、Flash Playerの脆弱性攻撃は、しばしばWordやExcel、PowerPointなどの文書ファイルを介して行われる。
標準設定のOfficeアプリは、ActiveXコントロールやマクロを含む文書を開くと、黄色いメッセージバーに「セキュリティの警告」を表示し、実行をブロックする。メッセージバーの[コンテンツの有効化]ボタンを押すなどしてこれを解除しなければ、細工された文書を開いてもマルウェア感染には至らずに済む。
メールの添付ファイルやインターネットからダウンロードしたファイルの場合には、「セキュリティの警告」の前に、閲覧以外の機能を無効化する保護ビューが機能する(環境次第で機能しないこともある)。保護ビューで開いた文書は、メッセージバーに「注意-インターネットから入手したファイルは、ウイルスに感染している可能性があります。編集する必要がなければ、保護ビューのままにしておくことをお勧めします」というメッセージが表示される。
文書を開いた際に、こうしたメッセージが表示された場合には、信頼できる安全な文書であることが分かっている場合以外は、[コンテンツの有効化] や[編集を有効にする][すべての機能を有効にする]などのボタンを決して押さぬよう注意していただきたい。これらを操作しなければ、感染することはない。文書ファイル攻撃などへのより詳しい対処方法については、下記の「セキュリティトピックス」を参照していただきたい。
(2018/02/02 ネットセキュリティニュース)
【関連URL】
・APSA18-01:Security Advisory for Flash Player[英文](アドビ)
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html
・Adobe Flash Player 신규 취약점 주의 권고[韓国語](KrCERT/CC)
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998
・Adobe Flash 0-Day Used Against South Korean Targets[英文](SANS Internet Storm Cente)
https://isc.sans.edu/forums/diary/Adobe+Flash+0Day+Used+Against+South+Korean+Targets/23301/
・サイモン・チョイ氏の当該ツイート(Twitter)
https://twitter.com/issuemakerslab/status/959006385550778369