Adobe Flashにゼロデイ攻撃、Adobe Readerにただちに処置を

　悪意を持ったハッカーが、AdobeのFlash Playerに新たな脆弱性を見つけ、特別に作成されたPDF文書を使って、Windowsを対象にした攻撃コードを実行させている。

　この現在未パッチのAdobe Flash Playerのセキュリティホールは、数多くのWindows XPとWindows Vistaのユーザーに影響を与えるものだ。Adobeは「潜在的な脆弱性」の存在を認めているが、どういうわけかゼロデイ攻撃についての警告を行うべきだとは考えていないらしく、何千万人というユーザーがパッチが提供されるまでの間に適用すべき緩和策も提供していない。

　これまでにAdobeが行った唯一の発表は、以下のようなものだ。

　AdobeはAdobe ReaderおよびAcrobat9.1.2と、Adobe Flash Player 9および10に潜在的な脆弱性が存在するとの報告について承知している。われわれは現在この潜在的な問題について調査中であり、さらに情報が得られた段階でアップデートを行う予定だ。

　その一方で、ウェブ上の悪質な活動を監視しているセキュリティ企業からは、攻撃が起こっているという情報が出てきている。

　Symantecは次のように述べている。

　われわれは最近、あるAdobe Acrobat PDFファイルを入手した。このファイルが開かれると、悪質なバイナリが作成され、実行される。このPDFが何らかの脆弱性を悪用してこのペイロードを作成していることは明らかだった。このファイルの分析を進めると、まもなくこの脆弱性がまだ世の中に出回っていないものであることが明らかになった。さらに驚くべきことに、この脆弱性は最初に予想されたAdobe Readerではなく、Adobe Flashに影響のあるものだった。

　・・・この攻撃コードの作者は、あるバグを使用し、これをヒープスプレイ技術を使った信頼できる攻撃コードに仕立てた。典型的な攻撃方法は、悪質なウェブサイトを閲覧するようにユーザーを誘導するか、悪質なPDFファイルを電子メールで送るというものになるだろう。疑わなかったユーザーがウェブサイトを閲覧するか、PDFファイルを開くと、この攻撃コードが攻撃対象のマシンにマルウェアを作成することが可能になる。この悪質なPDFファイルはTrojan.Pidief.Gとして、作成されたファイルはトロイの木馬として検知される。

　私のKasperskyの同僚は（著者の身分については情報開示を参照）、この攻撃がAdobe Acrobatが持っているある機能を利用したゼロデイ攻撃の性質を持っていることを認めている。その機能とは、PDFファイル中にAdobe Flashオブジェクトを埋め込むことができるというものだ。

　現在のケースは、中国語のPDF文書による標的型攻撃であり、このFlashの攻撃コードは問題のないAdobe PDFファイルに埋め込まれている。攻撃対象のブラウザが埋め込みオブジェクトとしてPDFファイルを開くことを許可しているか、ユーザーがファイルをダウンロードしてローカルのビューワーで開くことに同意すれば、このマルウェアの攻撃を受けることになる。

　少なくとも1つの攻撃コードは、2009年7月2日に作成されたことを示す証拠がある。

　現在はAdobeから緩和策が発表されていない状態なので、この記事では私の勧める処置を記しておく。Acrobat ReaderでFlashを無効にするか、現在使っているブラウザで、埋め込みオブジェクトを開く機能を無効にすることだ。

　Adobe Readerでは、[編集] > [環境設定] > [マルチメディアの信頼性（従来形式）] でAdobe Flash Playerの権限を選択し、ドロップダウンリストで[許可しない]か[確認する]を選択する。

　この最新の攻撃に関するニュースは、同社がAdobe.comの公式ダウンロードサイトから、安全でないバージョンのPDFリーダーを配布していたことを認めてからわずか数日後に流れたものだ。