Kaspersky Lab のヒューリスティック検知・保護サブシステムは、Adobe Flash Player のゼロデイぜい弱性(CVE-2014-0515)検知と攻撃のブロックに成功しました。
[本リリースは、2014 年4月28日にKaspersky Labより発表されたプレスリリースの抄訳です]
Kaspersky Lab のヒューリスティック検知・保護サブシステムは、Adobe Flash Player に内在するゼロデイぜい弱性を突く攻撃のブロックに成功しました。Kaspersky Lab のリサーチャーはこのセキュリティホールを発見し、これを悪用して攻撃を実行していたエクスプロイトが、中東の国々で違法行為の情報を集める目的で作られた政府の正規のWeb サイトを経由して拡大していたことを突き止めました。
4 月中旬、Kaspersky Security Network から収集されたデータを分析していた Kaspersky Lab のエキスパートたちは、ある未知のエクスプロイトを発見しました。詳細な調査の結果、そのエクスプロイトがAdobe Flash Player の未知のぜい弱性を悪用していることがわかりました。そのぜい弱性は、ビデオや画像の処理に使用される古いコンポーネント「Pixel Bender」に存在していました。
さらに分析を進めると、このエクスプロイトは、シリアの法務省が 2011 年に作成した国民が違法行為を告発するためのサイトを経由して配布されていたことが判明しました。この攻撃は、シリア政府に対し不満を持つ反体制派を標的としていたと思われます。
弊社のエキスパートたちは、シェルコード(ソフトウェアのぜい弱性を悪用する際にペイロードとして使用されるコード断片)の一部に差異のある 2 種類のエクスプロイトを発見しました。
Kasprsky Lab のぜい弱性リサーチグループマネージャーのヴャチェスラフ・ザコルチェフスキー(Vyacheslav Zakorzhevsky)は次のようにコメントしています。「1 つ目のエクスプロイトには、ダウンロード実行型のやや原始的なペイロード動作が認められ、2 つ目は、Cisco MeetingPlace Express アドインと連動する仕様でした。これはPC デスクトップ上のドキュメントや画像の共有を可能にする合法的なFlashプラグインですが、特別な環境下ではスパイツールとして使用できます。さらに、この 2 つ目のエクスプロイトは、攻撃対象の PC に特定バージョンの Flash Player と Cisco MeetingPlace Express アドインがインストールされている場合のみ動作することが判明しました。これは、一部の限られた人物のみを標的としていたことを意味しています」
弊社は1 つ目のエクスプロイトを発見後、ただちに Adobe 社にこの新たなぜい弱性を通知しました。同社はこの情報に基づき調査し、このぜい弱性がゼロデイ型であることを確認するとWeb サイト上でパッチの提供を開始しました。このぜい弱性の CVE 番号は CVE-2014-0515 です。
ヴャチェスラフ・ザコルチェフスキーは次のように述べています。「このぜい弱性を突くエクスプロイト攻撃の発生件数はまだ少ないものの、利用者には Adobe Flash Player をアップデートすることを強く勧めます。このぜい弱性に関する情報が知られるようになれば、犯罪者らは新たなエクスプロイトとしてこれらを再生させることをもくろんだり、既存の変種を入手して別の攻撃に利用するかもしれません。パッチの提供が始まったとしても、Flash Player のような広く利用されるソフトウェアのアップデートが世界中に行き渡るまでには時間がかかります。その間にも、サイバー犯罪者らは利益を得ようと企んでいます。残念ながら、しばらくの間このぜい弱性のリスクが消えることはないでしょう」
Adobe Flash 内に最近発見されたこのゼロデイぜい弱性に関する詳細情報については、こちらで参照できます。
Kaspersky Lab のエキスパートたちが今年に入って発見したゼロデイぜい弱性は、2 月に発見したユーザーの PC を密かにマルウェア感染させる、Adobe Flash Player に内在する別のゼロデイぜい弱性 CVE-2014-0497 に続き、これが 2 件目となります。
ヒューリスティック検知サブシステム
このシステムは、個人向けおよび企業ユーザー向けのカスペルスキー製品(Kaspersky Anti-Virus、Kaspersky Internet Security、Kaspersky Endpoint Security for Business など)に使用されるアンチウイルスエンジンの構成要素です。通常のアンチウイルステクノロジーでは、各マルウェアに対して、それらがいかに近似していても1 つずつのシグネチャが必要とされます。一方で、ヒューリスティック検知は、マルウェアプログラム全体をカバーすることができます。これに用いられるヒューリスティックシグネチャという特別なシグネチャでは、個々のマルウェアを検知するだけでなく、特別な機能のリストに従ってグループ分けされたマルウェアの集合体を検知することが可能です。今年の1 月には、Adobe Flash に存在するこの新しいゼロデイエクスプロイトの動作をカバーするヒューリスティックシグネチャも、Kaspersky Lab の定義データベースに追加されています。
弊社のエキスパートたちが実施したあるテストでは、未知の脅威を検知する Kaspersky Lab のもう 1 つの強力なツールである「ぜい弱性攻撃ブロック」テクノロジーにより、CVE-2014-0515 を悪用するエクスプロイトが正確に検知されていることも確認しています。
同テクノロジーは 2013 年 11 月には、Microsoft Office のゼロデイぜい弱性を突く攻撃のブロックにも成功しています。また 2012 年の年末には複数の悪質なマルウェアコンポーネントによる攻撃を事前にブロックしています。後日、これらのコンポーネントは、2013 年 1 月に 弊社のリサーチャーたちが発見した大規模なサイバースパイ活動、 Red Octoberに関与していたことが判明しました。
