日本国内の少なくとも2組織のWebサイトが改ざんされ、Adobe Flash Playerの脆弱性を突く攻撃に利用されていたという。
セキュリティ企業の米FireEyeは7月19日、日本国内の少なくとも2組織のWebサイトが改ざんされ、Adobe Flash Playerの脆弱性を突く攻撃に利用されているのを発見したと伝えた。
悪用されていたのはイタリア企業HackingTeamからの情報流出で発覚した脆弱性(CVE-2015-5122)。正規のWebサイトを改ざんしてマルウェアをダウンロードさせる仕掛けになっていた。Adobeは7月14日にリリースした更新版でこの脆弱性を修正しているが、FireEyeが攻撃を確認したのも7月14日だったとしている。
改ざんが見つかったのは国際交流サービス協会(IHCSA)のWebサイトとコスメテックのWebサイトで、ユーザーをリダイレクトして、脆弱性悪用コードを仕込んだWebサイトに誘導していたという。
コスメテックのWebサイトでは、ユーザーがFlash Player最新版のバージョン11.4.0をインストールしているかどうかをチェックした上で、細工を施したSWFファイルをダウンロードさせる手口が使われていた。
攻撃にバックドア型マルウェアマルウェア「SOGU」(別名Kaba)を使う手口などは、日本の組織を狙って執拗な攻撃を仕掛けている中国のAPT組織の手口と一致するとFireEyeは指摘。トレンドマイクロの正規ファイルを装うファイル名を使っていたことなどからも、攻撃者は日本の組織に照準を絞っていたとFireEyeは分析している。
HackingTeamからの情報流出では、それまで知られていなかったFlashの脆弱性少なくとも2件が発覚。Adobeは7月8日と7月14日に公開したセキュリティアップデートでこの問題を修正していた。
Copyright © ITmedia, Inc. All Rights Reserved.