山下眞一郎/富士通南九州システムエンジニアリング 第一ソリューション事業部 ネットソリューション部 担当部長

 最近,ある企業のシステム管理者から『現在使用しているFlash Player 9で,Webサイトを見ている際にパソコンの利用者が意図しない動作をさせられる“クリップボード・アタック”や“クリックジャッキング”という危険なセキュリティ・ホールが発生している聞く。対処方法をアドバイスしてほしい』という相談を受けました。

 “クリップボード・アタック”(Clipboard attack)や“クリックジャッキング”(Clickjacking)は,こうした攻撃が指摘された時点の最新版だったFlash Playerバージョン9.0.124.0(2008年4月公開)でも影響を受けます。特に“クリップボード・アタック”は従来,アドビ システムズ自身がセキュリティ・ホールとは認識しておらず,積極的な情報公開もない危険な状態でした。ようやくリリースされた「Flash Player 10」で対応されています。

 10月15日に,アドビはWebブラウザのプラグインの一種であるFlash Playerの新バージョン「Adobe Flash Player 10」日本語版をリリースしました。「Adobe Flash Playerダウンロードセンター」のページから,早速「Adobe Flash Player 10」日本語版(Adobe Flash Playerバージョン10.0.12.36)がダウンロード可能となっています。
関連記事
「Flash Player 10」リリース,クリック乗っ取りやFirefoxバグを解消(2008/10/16)
Adobe,「Flash Player 10」の正式版を公開,縦書きに対応(2008/10/16)
関連URL
アドビ システムズ, Adobe Flash Player 10の提供を開始(2008/10/15)

 Flash Player 10には,カスタムフィルタとカスタムエフェクト,ネイティブでの3D変換と3Dアニメーション,高度なオーディオ処理,GPUハードウェアアクセラレーションといった新機能が搭載されています。詳細な機能は「Flash Player 10搭載機能」に記載されています。ただ,いつもこのコラムで述べているように,システム管理者が一番気にしなければならないのは,最新バージョンの新機能ではありません。
(1)最新バージョンに既知のセキュリティ・ホールは残っていないか?
(2)最新バージョンの使用時の注意事項はないか?
(3)従来バージョンは,いつ使用できなくなるのか?
などを見極める必要があります。

 まず,「(1)最新バージョンに既知のセキュリティ・ホールは残っていないか?」をチェックしてみましょう。結論から言えば,今回リリースされた「Adobe Flash Player 10」(バージョン10.0.12.36)は,“クリップボード・アタック”や“クリックジャッキング”には対応済みです。

 “クリップボード・アタック”とは,スクリプトを組み込んだ悪意あるFlashコンテンツをWebサイトに配置され,コンテンツを閲覧するとパソコンのクリップボードを勝手に上書きされるというものです。例えば,ジャンプしたいWebサイトのURLを自分のパソコンのクリップボードにコピーした状態であっても,悪意あるFlashコンテンツを含むWebページを閲覧した時点で,クリップボードにコピーされている情報を,悪意のあるFlashコンテンツの作成者が意図した危険なURLに書き換えられてしまいます。そして,危険なURLにクリップボードが勝手に書き換えられたことを知らずに,Webブラウザのアドレスバーに自分でペーストして,意図せず危険なWebサイトにアクセスさせられるということが想定されます。

 なお,Flashコンテンツには以前から,System.setClipboard()という,クリップボードの内容をテキスト・ストリングで置きかえるメソッドが実装されていて,スクリプト(ActionScript)を使ったクリップボードの上書きは可能でした。このためアドビは,“クリップボード・アタック”をセキュリティホールとは認識しておらず,「セキュリティ情報」の一覧表にも記載されていません。
関連記事
「悪質Flashでクリップボードを乗っ取る」――偽ソフト配布の新手口(2008/08/20)

 ただアドビは,この“クリップボード・アタック”を軽視していたわけではありません。例えば,アドビのセキュリティ・インシデント・レスポンス・チームのブログである「Adobe Product Security Incident Response Team」(PSIRT)には,8月19日に「Clipboard attack」というタイトルのエントリーがありました。その中では,Flash Playerが関係する潜在的「Clipboard attack」問題について,最近の報道に気づいていることと,調査中であり今後情報提供の意思があることを示唆しています。9月13日のエントリーでは「Clipboard attack update」というタイトルで,Flash Player 10で仕様を変更し対処することを示唆しています。

 詳細は,レポート「following Article on security changes in Flash Player 10」を見るようにと記述されており,そのレポートにはきちんと,『Setting data on the system Clipboard requires user interaction』(データをシステム・クリップボードの上に置くには,ユーザー・インタラクションを必要とします)と記載されています。

 ちょっと余談になりますが,「Flash Player 10ベータでのセキュリティに関する変更について」というレポートがあります。URLからすると,このレポートの和訳と思われますが,オリジナルの英語版には“対策を要する変更”に関して8つの説明があるのに対し,和訳版では最初の3つしかありません(『Setting data on the system Clipboard requires user interaction』の説明も存在しません)。英語版のレポートは10月15日に更新されており,もしかしたらその際に加筆されたのかもしれませんが,セキュリティに関する変更の中でも特に重要な“対策を要する変更”に関しては,漏れなく訳してほしいところです。

 オリジナルの英語版の説明は次のようなものです。

Flash Player 9では,スクリプト(ActionScript)はいつでもデータをクリップボードに置くことができました。Flash Player 10では,System.setClipboard()メソッドは,ユーザー・インタラクション(マウス・クリック,キーボード入力など)から始まるスクリプト(ActionScript)を通してだけ,呼び出されるかもしれません。この変化は,Flash Player 10と,その後リリースされるすべてのバージョンのSWFファイルに影響を及ぼします。