文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    Flashの緊急パッチ、今すぐ更新を

     ウェブサイトなどで使われているFlashで深刻な脆弱(ぜいじゃく)性が発見された。すでにランサムウェアの被害が確認されている。Windows・Macともに、今すぐ最新バージョンに更新しよう。(ITジャーナリスト・三上洋)

    Flashに深刻な脆弱性。ランサムウェア感染の原因にも

    • 日本時間4月8日に出されたAdobeのセキュリティアドバイザリ。深刻なFlash脆弱性を解消するアップデートが配布された
      日本時間4月8日に出されたAdobeのセキュリティアドバイザリ。深刻なFlash脆弱性を解消するアップデートが配布された

     ウェブサイトでの映像やアニメ表示などで使われている「Adobe Flash」で、深刻な脆弱性が発見されている。脆弱性とは、攻撃されるとウイルス感染などの被害が出る可能性がある弱点のこと。4月5日にAdobeが24件の脆弱性を発表し、4月7日(日本時間8日)に脆弱性を解消する最新版(緊急パッチ)が提供された。

     この脆弱性は、Windows・Mac・Linux・Chrome OSに影響がある。現在使われているほとんどのパソコンが対象だと言えるだろう。Adobeによれば、この脆弱性を攻撃された場合、クラッシュ(強制終了)を引き起こしたり、攻撃者がパソコンを乗っ取ったりする恐れもあるとのことだ。

    ●更新が必要なバージョン

    ・Adobe Flash Player 21.0.0.197およびこれよりも前のバージョン(Windows版、Macintosh版、Linux版、Chrome OS版)

     実際の攻撃にもすでに使われている。Adobeが被害を確認しているほか、セキュリティー大手・トレンドマイクロもこの脆弱性を使った攻撃を確認した(「Flashのゼロデイ脆弱性「CVE-2016-1019」、既にランサムウェア拡散での利用を確認」トレンドマイクロセキュリティブログ)。

     トレンドマイクロによれば、3月31日の時点で24件の脆弱性のうちの1つ「CVE-2016-1019」を突く攻撃を発見したとのこと。この攻撃は、暗号化型ランサムウェア「Locky(ロッキー)」に感染させようとするものだった。ランサムウェアとはファイルを勝手に暗号化するなどして「元に戻すには金を払え」と脅迫する身代金要求ウイルスのことだ。

    • ランサムウェア「Locky」の日本語による脅迫文。今回のFlash脆弱性を突いて、Lockyに感染させる攻撃がみつかっている(トレンドマイクロによる)
      ランサムウェア「Locky」の日本語による脅迫文。今回のFlash脆弱性を突いて、Lockyに感染させる攻撃がみつかっている(トレンドマイクロによる)

     このLockyに感染するとファイルを暗号化して読めなくし、ファイルの拡張子を「.locky」に変えてしまう。その上で、金を払えとの脅迫文がデスクトップの壁紙に表示される。2月に発見されたバージョンでは日本語の脅迫文が表示され、専用のサイトに誘導しビットコインで0.5BTC(約2万2000円前後:4/11現在)で払えと脅すものだった。被害に遭わないためにも、今すぐFlashを最新版にアップデートする必要がある。

    繰り返し出現するFlash脆弱性。「エクスプロイトキット」が最新の脆弱性を常に攻撃

    • 今回のFlash脆弱性を攻撃するエクスプロイトキット「Magnitude Exploit Kit」が動いていたドメイン(トレンドマイクロによる)
      今回のFlash脆弱性を攻撃するエクスプロイトキット「Magnitude Exploit Kit」が動いていたドメイン(トレンドマイクロによる)

     トレンドマイクロによれば、今回のFlash脆弱性を突く攻撃では「Magnitude Exploit Kit」と呼ばれるエクスプロイトキットが使われていた。エクスプロイトキットとは、複数の脆弱性を判別し攻撃する脆弱性攻撃ツールのことだ。

     エクスプロイトキットは、まず被害者のパソコンの状態を確認する。ブラウザー・Flash・Javaなどのバージョンをチェックし、脆弱性が残っている古いものがないか確かめる。発見したらその脆弱性を突いて攻撃し、ウイルスなどに感染させようとする。「弱点の発見ツール」であり、同時に「万能の攻撃ツール」でもあるのだ。

     サイバー犯罪者から見ると、エクスプロイトキットを使っていれば、いちいち攻撃方法を考える必要がない。古いものから今回のような最新のFlash脆弱性を、1つのエクスプロイトキットでカバーできるからだ。サイバー犯罪者にとって便利なツールであるわけだ。

     このエクスプロイトキットでもっとも多く攻撃に使われているのが、Flashの脆弱性だ。トレンドマイクロの調べによれば、エクスプロイトキットが2015年に攻撃した18件の脆弱性のうち、15件がFlashの脆弱性だった(「エクスプロイトキット最新動向分析:Webサイト改ざんと不正広告を経由し、Flash脆弱性を攻撃」トレンドマイクロセキュリティブログ)。

     Flashの脆弱性は繰り返し何度も登場している。特に最近は、おおむね数ヶ月ごとにFlashの深刻な脆弱性が発見されており、悪用するサイバー攻撃が発生している。Flashは多くのウェブサイトで使われていること、ユーザーがFlashを使っているという意識が薄く対策が甘いことなどが原因だろう。

     あまりにFlashの脆弱性を突く攻撃が多いため、ネット上ではFlash自体を削除しようと呼びかけもあるほどだ。ただ、多くのサイトでFlashが使われており、削除すると不便になるため今のところ現実的ではない。私たちユーザーは、Flashを常に最新版にすることを心がけたい。

    Flashバージョンチェックの方法と自動更新設定

     対策としてはまず自分のパソコンでのFlashバージョンを確かめること。下記のサイトを表示し、最新バージョンかどうかチェックしよう。

    Adobe Flash Playerのバージョンチェック

     もし古ければ、Adobeの公式サイトから最新バージョンにアップデートする。今回の脆弱性で言えば「21.0.0.197以前のバージョン」は脆弱性があるので、最新バージョンにアップデートする必要がある。

     なおブラウザーのうち「Chrome」とWindows 8.1/10用の「Internet Explorer」、およびWindows 10用の「Microsoft Edge」では、Flashがブラウザーに統合されており、自動更新されるので操作の必要はない。

    • WindowsのコントロールパネルからFlashの自動更新を設定する
      WindowsのコントロールパネルからFlashの自動更新を設定する

     それ以外のブラウザーでは、Adobe Flash Playerを自動更新に設定しよう。Windowsの場合、コントロールパネルからFlashの設定を起動し「更新」のタブで「アップデートのインストールを許可する(推奨)」を選ぶ。通知が出たら、必ずアップデートしよう。

     なおIPA・情報処理推進機構では、FlashだけでなくOS・ブラウザー・Javaなどのバージョンを確認する「MyJVNバージョンチェッカ」を提供している。脆弱性のある古いバージョンのソフトを使っていないかチェックできるツールなので、自分のパソコンで実行してみよう。

    参考記事

    Flashのゼロデイ脆弱性「CVE-2016-1019」、既にランサムウェア拡散での利用を確認:トレンドマイクロセキュリティブログ

    エクスプロイトキット最新動向分析:Webサイト改ざんと不正広告を経由し、Flash脆弱性を攻撃:トレンドマイクロセキュリティブログ

    Flash脆弱性、対策しにくい「ゼロデイ攻撃」とは:サイバー護身術

    2016年04月11日 12時21分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP

    目力アップ♪

    疲れをほぐして、イキイキと!