アドビ、「Flash Player 10」でクリックジャック攻撃に対処
クリップボード攻撃と併せ、新版で脆弱性を修正米国Adobe Systemsは10月15日、マルチメディア向けWebブラウザ・プラグインの最新版「Flash Player 10」をリリースした。GPUアクセラレーション機能の強化に加え、旧バージョンで指摘されていた「クリックジャック(clickjacking)攻撃」などに対する脆弱性が修正されている。
クリックジャックとは、ユーザーのWebカメラやマイクを悪用し不正なWebサイトへと誘導する(見えないボタンを、ユーザーが気づかないうちにクリックさせる)攻撃手法。また、ユーザーのクリップボードを悪意あるURLで埋めてしまう「クリップボード(Clipboard)攻撃」についても、Flash Playerで過去1カ月以上にわたり確認されている。
Adobeは先週、クリックジャック攻撃に対する脆弱性の存在を認め、ユーザーに警告を促すとともに、Flash Player 10でこうした脆弱性に対処する旨を表明していた。
クリックジャック攻撃を最初に取り上げたのは、2人のセキュリティ研究家である。米国SecTheoryのロバート・ハンセン(Robert Hansen)氏と、米国WhiteHat Securityのジェレマイア・グロスマン(Jeremiah Grossman)氏は、3週間前に発見したこの攻撃手法をクリックジャックと名づけた。しかし、Adobeの要請により、その時点では詳細の公開を控え、一般的な情報提供のみにとどめていた。
その後、他のセキュリティ専門家が独自にコンセプト実証コードを発見したことを受け、Adobeは情報の公開を許可した。そして先週、WebカメラなどをFlash Player経由でクラッキングする攻撃手法の詳細が明らかになっている。
一方、クリップボード攻撃に対するFlash Playerの脆弱性は、WindowsおよびMac環境のクリップボードが不正なURLで埋められ、攻撃に利用されてしまうというもの。攻撃はFlash形式の広告を通じて行われる。攻撃者は、Flashのコマンド「setClipboard」を悪用してクリップボードを感染させるという。
クリップボード攻撃も2カ月近く前にセキュリティ専門家が発見し、Adobeは9月になってこの攻撃の存在を認めている。今回リリースされたFlash Player 10には、それに対処するための修正が加えられていると、Adobeでは説明する。「クリップボード攻撃を阻止するため、クリップボードのAPI(Application Programming Interface)に修正を加えた」(Adobeのセキュリティ・アドバイザリより)
さらにFlash Player 10では、Flash Playerが自動的にファイルをダウンロードすることを防ぐパッチなど、3点のセキュリティ脆弱性修正を含んでいる。
Adobeのセキュリティ・プログラム・マネジャー、デビッド・レノー(David Lenoe)氏は、同社のブログに、「Flash Player 10では、昨今話題になっているクリックジャックにかかわる問題を解決するとともに、クリップボード攻撃対策や、その他のセキュリティ強化を施した」と記している。
Flash Player 10は、Windows版、Mac OS X版、Linux版、Solaris版がすでにダウンロード可能となっている。Adobeによると、バージョン10へのアップグレードを希望しないユーザーは、11月に予定されているFlash Player 9のアップデートまで待つ必要があるという。
(Gregg Keizer/Computerworld米国版)
