2009年8月にTrusteerが公表した調査結果によれば、同社のRapportセキュリティサービスのユーザー250万人のうち、79.5%が脆弱性を持つバージョンのAdobe Flashを利用しており、さらに83.5%が脆弱性を持つバージョンのAcrobatを使っている。
Trusteerは、Adobeのアップデートの仕組みは「インターネット上のユーザーの99%に使われており、犯罪者の標的にされることが多いシステムの要件に見合っていない」として同社を批判する一方で、GoogleのChromeやFirefoxのアップデートの仕組みを賞賛している。Chromeのサイレントアップデートの仕組みは、悪意を持った攻撃者が利用できる機会を減らすものだとされている。
Trusteerの調査結果は、Adobeが公式サイトから安全でないバージョンのAdobe Readerを配布していることをSecuniaが発見してから1ヶ月後に公表されたものだ。Adobeはこの問題について、組み込みのアップデート機能があるため問題は少ないと弁明しているが、この仕組みは今回の調査の対象となった250万人のユーザーには使われていないようだ。この問題の後、SANS NewsBitesニューズレターの61号には、組織は攻撃対象領域を最小化するため、Adobe製品の使用を制限すべきだとのアドバイスが掲載された。
Adobe製品の市場浸透度が高いことから、Adobe関連の脆弱性を突く攻撃の増加が見られるのは極めて論理的なことだ。ただし、Adobeの脆弱性だけに依存しているウェブマルウェア攻撃キットは出回っていない。むしろ、感染の成功確率を高めるため、ブラウザの認識を試みた後、PC上でよく見られるアプリケーションを悪用する攻撃方法の組み合わせが使われる。
2ヶ月前にSecuniaが公開したデータは、サイバー犯罪者がかなり前から意識していたのと同じ傾向を示している。このデータによれば、PC 1台当たりにインストールされている安全でないプログラムの数の平均は依然として高く、PC1台に付き、米国では平均3つの安全でないプログラムが、欧州では4つの安全でないプログラムが存在する。同社は2年前にも同様のデータを発表しており、これを考えれば、古い未パッチのセキュリティホールを利用して効率的に何十万人ものユーザーを感染させているサイバー犯罪者の観点から見れば、未パッチの脆弱性はゼロデイ脆弱性と同じように役に立っているはずだ。
Adobeの製品も例外ではなく、攻撃方法の組み合わせで標的とされている脆弱性の中に、同社のものもある。読者には、サイバー犯罪者に利用される前に、FlashとAdobe Readerが最新かどうかを確かめるだけでなく、自分のPCのすべてのアプリケーションが最新版であることを確認してほしい。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ
