2015-07-21
Adobe FlashPlayerの脆弱性を悪用する複数の国内Webサイトの改ざんについてまとめてみた
Hacking Teamのリーク事案を受けて、Adobe FlashPlayerの脆弱性を悪用する動きが国内で複数確認されました。ここでは関連情報をまとめます。
このまとめを読む前に
皆様の使用するPCにインストールされたFlash Playerが最新版かどうかをAdobe社のバージョン確認サイトで確認を行ってください。最新版でなければすぐにFlashPlayerのアップデートを行ってください。また合わせてWindows Updateが行われているか確認し、Windowsを最新の状態にアップデートして下さい。(Windowsは7月2回アップデートが行われています。)
Windows、及びOSXを使用している場合、2015年7月21日現在で「18.0.0.209」と表示されていれば最新版を利用しており、この記事で取り上げる悪用が確認されている脆弱性の影響は受けません。尚、Windows Vistaや7など、環境によってはブラウザで動作するFlashPlayerのバージョンが違うことがあります。バージョンチェックはPCで利用している全てのブラウザで確認し、最新版でない場合は即時アップデートすることを強く推奨します。
Hacking Teamから漏えいした複数の脆弱性
7月1日のHacking Teamのリークを受け、リークデータから発掘された脆弱性は7月21日時点で5つ存在します。これらは全て発見当時未修正の脆弱性(ゼロデイ)でした。その内、3つはAdobe FlashPlayerの脆弱性であり、発見されてすぐに複数のExploit Kitをはじめとした悪用が始まりました。
| 対象 | 発掘日 | 修正日 | CVE | 脆弱性の影響 |
|---|---|---|---|---|
| Adobe FlashPlayer | 7月7日 | 7月8日 | CVE-2015-5119 | リモートから任意のコード実行 |
| Adobe FlashPlayer | 7月11日 | 7月14日 | CVE-2015-5122 | リモートから任意のコード実行 |
| Adobe FlashPlayer | 7月12日 | 7月14日 | CVE-2015-5123 | リモートから任意のコード実行 |
各脆弱性に関する関連情報は次の通りです。
Adobe FlashPlayer CVE-2015-5119
| 対象バージョン (Win/OSX) | 18.0.0.194 以前 |
|---|---|
| 修正バージョン (Win/OSX) | 18.0.0.203 |
| Priority | 1(Critical) |
| CVSS | 10.0 |
- Adobe APSA15-03 Security Advisory for Adobe Flash Player
- Adobe APSB15-16 Security updates available for Adobe Flash Player
- JPCERT/CC Adobe Flash Player の脆弱性 (APSB15-16) に関する注意喚起
- ソフトバンク・テクノロジー CVE-2015-5119(APSB15-16)- 脆弱性調査レポート
- TrendMicro 「Hacking Team」の情報漏えい事例:Flash Playerのゼロデイ脆弱性「CVE-2015-5119」、複数のエクスプロイトキットで追加を確認
- Malware don’t need Coffee: CVE-2015-5119 (HackingTeam 0d - Flash up to 18.0.0.194) and Exploit Kits
- APT Group Wekby Leveraging Hacking Team Adobe Flash Exploit (CVE-2015-5119) | Volexity Blog
- Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak « Threat Research | FireEye Inc
Adobe FlashPlayer CVE-2015-5122/CVE-2015-5123
| 対象バージョン (Win/OSX) | 18.0.0.203 以前 |
|---|---|
| 修正バージョン (Win/OSX) | 18.0.0.209 |
| Priority | 1(Critical) |
| CVSS | CVE-2015-5122:10.0 CVE-2015-5123:10.0 |
- Adobe APSA15-04 Security Advisory for Adobe Flash Player
- Adpbe APSB15-18 Security updates available for Adobe Flash Player
- JPCERT/CC 2015年7月 Adobe Flash Player の未修正の脆弱性に関する注意喚起
- ソフトバンク・テクノロジー CVE-2015-5122(APSA15-04) - 脆弱性調査レポート
- TrendMicro 新たなFlashのゼロデイ脆弱性「CVE-2015-5122」、「CVE-2015-5123」を連続して確認
- Malware don’t need Coffee: CVE-2015-5122 (HackingTeam 0d two - Flash up to 18.0.0.203) and Exploit Kits
- Watering Hole Attack on Aerospace Firm Exploits CVE-2015-5122 to Install IsSpace Backdoor - Palo Alto Networks BlogPalo Alto Networks Blog
国内で確認されている悪用の動向
国内の複数のWebサイトが改ざんされ、ExploitにAdobe FlashPlayerの脆弱性を悪用している事例が確認されています。Exploitが成功して感染するマルウェアは「EMDIVI」と「PlugX」に大きくは分類されます。ただし、これらが同一グループによるものかどうかなど、背後関係に関する詳細な情報は明らかとなっていません。
| No | 改ざんされたサイト | 改ざん時期 | Exploit | PayLoad | 被害状況 |
|---|---|---|---|---|---|
| 1 | 安全衛生技術試験協会 | 7月10日 12時〜17時半 | CVE-2015-5119 | EMDIVI | 東京都 |
| 2 | 都立立川国際中等教育学校 | 7月10日 11時23分〜7月15日16時45分 | CVE-2015-5119 | EMDIVI | 校内 |
| 3 | 国際交流サービス協会 | 7月14日時点でFireEye確認 | コスメテックへ遷移 | − | 不明 |
| 4 | コスメテック | 7月14日時点でFireEye確認 | CVE-2015-5122 | PlugX | 不明 |
尚、これらはセキュリティベンダの調査やメディアの報道で公開された改ざん事例であり、全ての改ざん事例の掲示を保証するものではありません。
マルウェア情報
| 確認事例 | 種類 | 内容 | ファイル名 | ハッシュ(SHA256) |
|---|---|---|---|---|
| 1 | Exploit | CVE-2015-5119 | movie.swf | e9302fe774e22e2b34a395f8e56c6976fe354bb88b5dcfda4ee36984eebd9340 |
| 1 | Payload | EMDIVI | Rdws.exe | dc3c90084e8c47414ccb17fd70d3c2b051a293efcc29dc57a6d273293e0001ec |
| 4 | Payload | PlugX | Rdws.exe | df5f1b802d553cddd3b99d1901a87d0d1f42431b366cfb0ed25f465285e38d27 |
通信先情報
| 確認事例 | 区分 | ホスト名 |
|---|---|---|
| 1 | Exploit | www[.]exam[.]or[.]jp/movie.swf |
| 1 | C2 | www[.]n-fit-sub[.]com |
| 1 | C2 | www[.]sakuranorei[.]com |
| 2 | Exploit? | www[.]tachikawachuto-e[.]metro[.]tokyo[.]psyweb[.]jp |
| 3 | Landing | www.ihcsa[.]or[.]jp/zaigaikoukan/zaigaikoukansencho-1 |
| 4 | Exploit | cosmetech[.]co[.]jp/css/movie.html |
| 2,4 | C2 | amxil[.]opmuert[.]org |
- ポートは80や443など複数確認しています。
公式発表
改ざん事実について発表している組織は次の通り。
事例(1) 安全衛生技術試験協会
- 2015年7月17日 皆様へのお詫びとお知らせ (魚拓)
事例(2) 教育庁
被害の状況
| 被害組織 | 発表日 | 感染台数 | 概要 |
|---|---|---|---|
| 都立立川国際中等教育学校 | 3台 | 7月15日 | 同行サイトを通じて教職員端末が感染 |
| 東京都 | 9台 | 7月21日 | 安全衛生技術試験協会等を通じて主税局他の職員端末が感染 |
- 同時期に報道されている環境省、ハローワークの関連性は不明です。
- 東京都の9台に学校分3台が含まれるかは不明。
- 東京都は総務省からの連絡を受け全ログを確認しマルウェア感染を把握した経緯。感染したマルウェアがEMDIVIかどうかは不明。*1
東京都のマルウェア感染
報道によれば次の情報が漏えいした可能性があります。
| 漏えいした可能性のある情報 | 件数 |
|---|---|
| 個人、法人の次の情報 ・名前 ・住所 ・生年月日 ・還付金額 ・口座番号 | 2,709件 |
| 生徒の次の情報*2 ・顔写真 ・名前など | 不明 |
関連サイト
- Second Adobe Flash Zero-Day CVE-2015-5122 from HackingTeam Exploited in Strategic Web Compromise Targeting Japanese Victims « Threat Research | FireEye Inc
- Flash Playerのゼロデイ脆弱性「CVE-2015-5119」による標的型攻撃を国内で確認 | トレンドマイクロ セキュリティブログ
更新履歴
*1:都庁PCがウイルス感染 2709人に謝罪(東京都),日テレNEWS24,2015年7月22日アクセス:魚拓
*2:都庁のPCウイルス感染 住民の個人情報など漏洩か,ANN,2015年7月22日アクセス:魚拓
*3:都職員PC感染、4台には内規違反の個人情報も,読売新聞,2015年7月22日アクセス:魚拓