Flash にゼロデイ脆弱性、パッチは来週リリース予定

2018.02.13

このニュースを耳にして、1998 年に戻ったかのような気分になりました。

2008 年に戻ってしまった、と言ったほうがよいのかもしれません。


そのニュースとは、Adobe の Flash Player にゼロデイ脆弱性が発見されたというものです。

Adobe は今年初となるセキュリティ情報 APSA18-01 で、次のように警告しています。


“(引用文日本語訳) 弊社では、CVE-2018-4878 がすでに Windows ユーザーを対象とする限定的な標的型攻撃に使用されているという報告を認識しています。これらの攻撃は、電子メールを介して配布する悪質な Flash コンテンツが埋め込まれた Office 文書を悪用します。”


関連用語をここで復習しておきましょう。


  • CVE-2018-4878 は、Flash のセキュリティバグ、すなわち脆弱性に割り当てられた識別子です。

  • エクスプロイトとは、脆弱性の悪用が可能な悪意のあるファイルが存在していることを意味します。

  • 悪意のある Flash エクスプロイトファイルを運ぶ手段として Office ドキュメントが使用されていて、外部からのユーザーにマルウェアを送り付ける手段として電子メールが使用されていれば、それはリモート攻撃です。

  • 外部から送信されたプログラムコードを警告なしでコンピュータに実行させることができるエクスプロイトは、リモートコード実行 (Remote Code Execution) 、略して RCE と呼ばれています。RCE は最も危険な種類のエクスプロイトです。

  • 今回の RCE の脆弱性は、パッチが公開される前に攻撃者が脆弱性を発見・悪用したために、ユーザーが事前にパッチを適用できる期間が 0 (ゼロ) 日であったことから、ゼロデイと呼ばれています。

Adobe は、再来週の月例セキュリティアップデート (2018 年 2 月 13 日) を待たずに、来週 (2018 年 2 月 5 日から始まる週) にパッチをリリースする予定です。


ということは、来週までパッチは公開されないため、それまでの期間この脆弱性はゼロデイ脆弱性のままであり続けます。


対策

  • 必要でなければ、Flash をアンインストールしてください。
    必要だと言うユーザーが挙げる一番の理由が、Web ビデオの視聴です。しかし、ほとんどの Web サイトでは、Flash がない場合は HTML5 が使用されます。Flash をアンインストールしても、ブラウザは Flash の代わりに内蔵のビデオプレーヤーを使用するため、結局 Flash は必要ありません。

  • 絶対に必要だと確信しているのでなければ、一度 Flash をアンインストールしてみてください。
    万が一必要になった場合には、いつでも再インストールすることができます。

  • できる限り速やかに Adobe のアップデートを適用してください。
    予防措置として Flash をアンインストールした場合は、新しいバージョンが公開されるまで再インストールしないでください。

ブラウザで Flash を無効にするだけでは不十分です。Web ページに埋め込まれている Flash ファイルがブラウザ内でレンダリングされるのを防ぐことはできても、コンピュータから Flash そのものは削除されません。


攻撃者が悪意のある Flash ファイルを Office ドキュメントに埋め込んだ目的は、ユーザーのブラウザを迂回することだと推測されます。なぜなら、すでに多くのユーザーがブラウザでの Flash による再生をブロックしていたり、特定の Web サイトでのみ有効にしていたりするからです。

引用元

おすすめの記事はこちら