ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

相変わらずFlashが危ないようです

2015.10.20

先日、またFlash Playerにゼロデイ脆弱性という報告がトレンドマイクロからありましたが、セキュリティ機関からもパッチではなく根本的なところに問題があるのではと見られているようです。

山本一郎です。昔、週刊Flashという媒体で危ない連載をしていました。

ところで、もはや無限に続く罰ゲームのような状態に陥っているFlashのセキュリティアップデートですが、その隙を突いて襲ってくるサイバー攻撃側の勢いもますます増長しているようでして、油断も隙もあったものではありません。

Flash Playerにまたゼロデイ脆弱性、前日の更新で修正されず(ITpro 15/10/14)

トレンドマイクロは2015年10月14日、「Adobe Flash Player」の最新版に未修正のセキュリティ脆弱性が解消されずに残っており、これを悪用した“ゼロデイ攻撃”が発生していると指摘する文書を出した。ITpro
せっかくアップデートプログラムで修正したつもりが、肝心の穴は塞がれていなかったというあたりかなり間抜けな話でもあるようですが、そうした一瞬の隙を見逃すことなく攻撃してくる側も単なる愉快犯というわけではなく明確な目的を持って組織的に活動していることが判明しているため、セキュリティ対策は手を抜かずにしっかりと行っておくべきでしょう。

Flashのセキュリティ脆弱性を利用した一連のサイバー攻撃ですが、これはトレンドマイクロが「Pawn Storm作戦」と名付け以前から追跡している事案であるようです。

「Pawn Storm 作戦」の精力的な活動を確認、NATOやホワイトハウスを標的に(トレンドマイクロ 15/4/17)

長期に渡って活動している標的型サイバー攻撃キャンペーン「Pawn Storm 作戦」は、2015年も、新しいインフラストラクチャの導入や、「北大西洋条約機構(NATO)」の関係者およびアメリカ大統領官邸(ホワイトハウス)を狙った攻撃など、目立った活動を続けています。
(中略)
「Pawn Storm作戦」は、主に米国やその同盟国の軍事、政府およびメディアを標的にしました。弊社は、この攻撃キャンペーンで、ロシアの反体制派やロシア政府と対立する人物、ウクライナの活動家や軍人が攻撃対象とされたことを特定しました。そのため、この攻撃キャンペーンは、ロシア政府との関連性が推測されています。トレンドマイクロ
上記の分析が正しいのであれば、我が国もロシア政府とは北方領土問題などでそれなりの確執がある以上、攻撃対象となる可能性は否定できません。トレンドマイクロによれば、まだ日本国内で今回の攻撃被害は確認されていないようですが油断は大敵でしょう。なにせ、トレンドマイクロですので(意味深

今となってはFlashを利用したコンテンツも往時に較べて少なくなり、普通にウェブサイトを閲覧する上でFlash Playerを必要とする機会も減りましたが、一方でブラウザゲームや動画コンテンツサービスの一部は依然としてFlashに依存しています。完全なプライベートで利用する個人用PCであれば各自の責任でFlashを利用するということでいいのでしょうが、業務データを扱うPCにFlash用プラグインをインストールするのは自らセキュリティリスクを高める行為であることも十分に自覚しておくべきかと思われます。仮に安全性に疑問があるとされるようなサイトは閲覧しないなどの自衛策を講じていたとしても、最近は広告ネットワークなどを悪用して一般のニュースサイトを通じて広い範囲で攻撃を試みる事例も出てきております。

表示だけでウイルス感染、正規サイトに不正広告の「手口」(読売新聞 15/9/4)

不正広告は600以上の正規サイトに表示され、日本国内で少なくとも900万件のアクセスがあったとのこと(2015年7月1日から8月21日まで。トレンドマイクロのソフトの利用者での統計)。海外の4つの広告配信業者(広告ホスティング事業者)から不正広告が配信されていた。読売新聞
600以上のサイトで900万件のアクセスという数字はなかなかインパクトがありますね。くれぐれも気をつけたいものです。

なお、Adobeはその後頑張って修正版を予定よりも前倒しで公開したようですが、今後も同じようなことが繰り返されるだけだろうという見方は決して少数派ではないように感じます。

Adobe、Flash更新版を前倒し公開攻撃発生の脆弱性に対処(ITmedia 15/10/18)

Flash Playerを巡っては、Adobeが更新版を公開するそばから新たな脆弱性の悪用が発覚する状況が続く。米セキュリティ機関のSANS Internet Storm Centerは、「Adobeが今回のパッチをリリースした後も、また新たな脆弱性がすぐにも利用されるだろう。パッチが1つ増えたところで根本的には何も変わらない」と指摘する。ITmedia
この手の話はいたちごっこでしかなく、取り組む側も利用する側も果てしない対策が必要になる以上徒労感を覚えるものですが、いずれ空腹になるからといって飯を食べないわけにはいかないのと同様、この手の話は「日々を安心して送るために必要なコスト」と割り切って生きていくしかなさそうです。