すでにご存じのように、Adobe は Windows 版、Mac 版、Linux 版の Adobe Flash Player の 11.3.300.270 およびそれ以前のバージョンについて、セキュリティアップデートを公開しました。これは、Adobe Flash Player に存在するリモートコード実行の脆弱性(CVE-2012-1535)を悪用することで、アプリケーションをクラッシュさせて、攻撃者が侵入先のコンピュータの制御を乗っ取る可能性がある問題に対処したものです。また、悪質な Word 文書を介して拡散される限定的な標的型攻撃でも、この脆弱性の悪用による被害が報告されていると指摘されています。
シマンテックではこの脅威を 2012 年 8 月 10 日から確認しており、現在までに 1,300 件以上のサンプルを遮断することに成功しています。確認された第 1 のサンプルは、「Reports for [削除済み]([削除済み] へのレポート)」という件名の電子メールで、[ランダムな数字][削除済み] Platinum Partners.doc というファイルが添付されていました。
Word 文書には、ActionScript で書かれた悪質な SWF ファイルが含まれており、埋め込んだシェルコードを利用するヒープスプレー手法が使われています。次に示した SWF ActionScript の抜粋を見ると、脆弱性のトリガーとしてフォントファイルが使われていることがわかります。
悪質なサンプルはいずれも、電子メールの件名や本文、添付ファイルの名前が異なるだけで、類似の攻撃手法を使っています。次にその一例を挙げます。
先週遮断された大量メール送信と標的型攻撃の数を示したのが、次のグラフです。
攻撃の大多数は 8 月 13 日に送信されています。次のグラフと表は、同日に遮断された電子メールの件名と件数の内訳です。
攻撃者は悪質なファイルを添付した電子メールをさまざまな内容で送信したようですが、シマンテックのヒューリスティックエンジン Skeptic をすり抜けることはできませんでした。
この脆弱性に対して Adobe から公開されている最新のセキュリティパッチを適用して、システムを最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。