米アドビシステムズが提供するWebブラウザー用のコンテンツ再生プラグイン「Adobe Flash Player」で、セキュリティ脆弱性が相次いで見つかっている(写真1)。
特に2015年7月上旬に見つかった3つの脆弱性では、問題が広く知られてから、アドビが修正プログラムを提供するまでに最大4日間のタイムラグがあった。この間にサイバー攻撃に悪用される「ゼロデイ攻撃」があったことを、アドビ自身が確認している。
3つの脆弱性は、いずれもFlash Player内部のスクリプト言語処理の欠陥を突くものだ。PC版(Windows、OS X、Linux)のすべてのFlash Playerに影響が及ぶ。細工されたWebサイトを閲覧した場合に、PCが第三者から遠隔操作される恐れがある。
情報処理推進機構(IPA)は修正プログラム提供前の7月13日に、「一時的にFlashのアンインストールや無効化などを実施してください」という異例の注意喚起をした(関連記事:Flash Playerに致命的な脆弱性、修正プログラムなくIPAは無効化を推奨)。修正プログラム公開後も、IPAは国内において脆弱性を悪用した攻撃活動が確認されているとして、警告を続けている(関連記事:IPAがFlash Playerの欠陥で改めて注意喚起、国内でサイバー攻撃活動を確認)。
アドビは7月14日に発表したコメントで、「Flash Playerはあらゆるところで使用されているため、悪意あるハッカーの攻撃対象になっている。アドビはFlash Playerのセキュリティ向上に継続的に取り組んでおり、今回の事象における対応と同様に、脆弱性が発見され次第、至急対処する」とした。
3つの脆弱性のうち1つをアドビに報告したのはトレンドマイクロだ。同社は、改ざんされたWebサイト経由で、これらの脆弱性を悪用したサイバー攻撃を確認したと発表した。7月13日から22日にかけて、日本からのアクセスが多い25サイトのFlashコンテンツに細工が仕込まれていたという。当該Webサイトを閲覧したPCに、「Emdivi(エムディビ)」などのマルウエア(遠隔操作ツール)を感染させたと見ている。
