Endpoint Protection

Adobe は 5 月 4 日、限定的な標的型攻撃に現在も利用されている Flash Player の脆弱性についてセキュリティ情報を公開しました。この標的型攻撃は、Adobe Flash Player に存在するオブジェクト型の混乱によるリモートコード実行の脆弱性（CVE-2012-0779）を悪用するもので、すでに 1 週間以上も活動が続いています。感染経路としては、これまでのほとんどの標的型攻撃と同様、悪質なファイルを添付して特別に作成された電子メールが使われています。

この攻撃が成功するには、脆弱なバージョンの Adobe Flash Player がインストールされているコンピュータ上で悪質な添付ファイルを開かせる必要があります。添付ファイルには、リモートサーバーにホストされている悪質な Flash ファイルへのリンクが埋め込まれています。この Flash ファイルをダウンロードして開くと、シェルコードが大量にヒープに書き込まれ（ヒープスプレー）、CVE-2012-0779 の悪用が開始されます。制御権を得たシェルコードは、元の文書からペイロードを探し出して復号し、ディスクに投下して実行します。シマンテックは、このペイロードを Trojan.Pasam として検出します。

これまでのところ、軍需産業に利用される製品のメーカー間で複数の標的が確認されていますが、これは今後数日のうちに変わるものと考えられます。
 

この攻撃で確認されている件名の例を以下に挙げます。

• [EMAIL USERNAME], The disclosure of [REDACTED] secret weapon deals with the Middle East（[メールのユーザー名] 様、中東における [編集済み] 秘密兵器の取引を公開します）
• [EMAIL USERNAME], I heard about the consolidation of [REDACTED], is that true?（[メールのユーザー名] 様、[編集済み] の合併の噂は本当ですか?）
• [COMPANY NAME] is in the unpromising situation after acquisition by [COMPANY]（[企業] の買収後、[会社名] の状況は不透明に）
• Invitation Letter to [REDACTED] 2012（[編集済み] 2012 への招待状）
• some questions about [REDACTED]（お問い合わせの [編集済み] について）
• China-Russia Joint Military Exercises（中ロ合同軍事演習）
• FOR more information（詳しいお問い合わせ先）

また、攻撃には以下のようなファイル名の文書が使われています。

• Consolidation Schedule.doc
• [会社名編集済み].doc
• [編集済み] Invitation Letter to [編集済み] 2012
• questions about your course.doc
• military exercise details.doc

ユーザーが悪質な文書を開くと、バックグラウンドで脆弱性が悪用され、文書が画面に表示されます。マルウェア作成者は、このとき表示される適当な文書をわざわざ作成しており、なかには公式のプレスリリースから情報を切り貼りしたものや、カンファレンスへの招待状を装って書かれた文書などがあります。そのほか、ランダムなデータが使われる場合もあります。
 

シマンテックがこれまでに確認した悪質なファイルは、中国、韓国、米国でホストされているサーバーに接続して、攻撃の実行に必要なデータを取得しています。この攻撃の標的となっているのは、Windows 版 Internet Explorer 上の Adobe Flash Player だけです。

このようなファイルが多数出回っていることが確認されています。セキュリティ対策を最新の状態に保つとともに、できるだけ速やかに Flash Player を最新版に更新してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。