［米国］
アドビ、「Flash Player」のセキュリティ脆弱性7件を修正

ハッキング・コンテスト入賞者も利用した危険度の高い脆弱性

（2008年04月10日）

　米国Adobe Systemsは4月9日、インタラクティブなWebサイトやバナー広告などのビジュアルに広く利用されている「Adobe Flash」フォーマットの再生ソフトウェア「Flash Player」におけるセキュリティ脆弱性7件を修正するアップデート版を公開した（アドビシステムズのダウンロード・ページ）。

　Adobeによると、悪意を持った人間がこれらの脆弱性を利用し、Flash Playerがインストールされたコンピュータに侵入して、攻撃コードを実行する可能性があるという。同社は、これらの脆弱性を「緊急」レベルに分類し、早急に最新バージョン「9.0.124.0」にアップデートするようユーザーに勧告している（AdobeのSecurity Advisoriesページ）。

　今年3月に、カナダのバンクーバーで開催された「CanSecWest 2008」コンファレンスのハッキング・コンテスト「PWN 2 OWN」で、賞品のノートPCを手にしたシェイン・マコーレー（Shane Macaulay）氏が利用したのは、実のところ、今回修正された脆弱性のうちの1つだ。

　Macaulay氏は、セキュリティ・コンサルティング企業Security Objectivesの研究者で、Flash Playerの脆弱性を突く形で、Windows Vista搭載のノートPCへの侵入に成功した。同氏は後日、世界中の9割のコンピュータが、（この脆弱性により）危険にさらされていると警告している。

　ハッキングの手段としてFlashの脆弱性を利用するエクスプロイトが増加している理由は2つある。まず、今日使われているほとんどのWebブラウザが、Flash Playerをプラグインとして組み込んでいること。そして、悪意あるバナー広告の存在だ。ネットワーク経由で広告を表示し、広範囲にわたるWebサイトに配信可能なバナー広告は、Flashの脆弱性を巧みに利用して攻撃を仕掛けることができる。

　Adobeの説明によると、ユーザーのWebブラウザやメール・ソフトなど、Flash Player本体や参照コードを含むアプリケーションを介し、リモート・サイトからコンテンツを配信してこれらの脆弱性を突くことができるという。

　悪意あるFlashバナー広告が広範囲に配信されれば、クラッカーが多数のPCを乗っ取る可能性もある。米国Microsoftの「Most Valued Professional」受賞者で、セキュリティ・ブログを運営するサンディ・ハードマイヤー（Sandy Hardmeier）氏は、最近こうした「Malvertisement」（malicious＋advertisement：マルウェア広告、悪意ある広告という意味の造語）があちこちに出現していると指摘する。同氏は4月5日に、ユーザーを危険なセキュリティ・ソフトウェアの販売ページに誘導する、FedExのニセ広告を発見したという。

　またセキュリティ・ベンダーの米国Websenseも4月8日、同社のブログで、米国の全国紙USA TodayのWebサイトに悪意あるバナー広告が掲載されていたことを報告し、その攻撃方法を説明している（WebsenseのSecurity Labsのページ）。Websenseによると、ユーザーがこの悪意のある広告を閲覧しただけで、ブラウザのウィンドウが最小化され、コンピュータがマルウェアに感染したという偽の警告が表示される。ユーザーがキャンセルをクリックしても、スパイウェア検知ソフトの販売Webサイトにリダイレクトされ、PC上に悪意あるコードをダウンロードするよう誘導するという。

　今年1月、Adobeを含む複数のソフトウェア・ベンダーは、クラッカーがクロスサイト・スクリプティング攻撃を可能にする危険な「Shockwave Flash」ファイル(拡張子は.swf）を作成するのを防ぐため、Flash開発ツールに修正を加えた。クロスサイト・スクリプティングは、Webサイトに顕在するセキュリティ・ホールを突き、Webブラウザに悪意のあるコードを実行させる攻撃手法だ。

　開発者がこうした問題を修正した一方で、攻撃を受ける可能性のあるFlashファイルを含んだWebサイトはまだ少なくとも1万件あると推定されている。

　Adobeが提供する最新のパッチはFlash Playerのみが対象だ。また、今回のアップデートでは、ポリシー・ファイルの管理方法が強化され、Flash Playerが他のドメインからのコンテンツの利用を許可するかどうかを判断する「クロスドメイン・ポリシー・チェック」という新機能も追加された。しかし、これはもちろん、クラッカーにとっても「（偽装した）ポリシー・ファイルの作成が可能である」ことになる。サーバがポリシー・ファイルを許可すれば、クラッカーは、「.swf」ファイルを作成し、特定サーバのドメイン以外からデータを送信することができるため、セキュリティ上の問題が発生する可能性もある。

(Jeremy Kirk／IDG News Serviceロンドン支局)