piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Adobe FlashPlayerの脆弱性を悪用する複数の国内Webサイトの改ざんについてまとめてみた

Hacking Teamのリーク事案を受けて、Adobe FlashPlayerの脆弱性を悪用する動きが国内で複数確認されました。ここでは関連情報をまとめます。

このまとめを読む前に

皆様の使用するPCにインストールされたFlash Playerが最新版かどうかをAdobe社のバージョン確認サイトで確認を行ってください。最新版でなければすぐにFlashPlayerのアップデートを行ってください。また合わせてWindows Updateが行われているか確認し、Windowsを最新の状態にアップデートして下さい。(Windowsは7月2回アップデートが行われています。)

Windows、及びOSXを使用している場合、2015年7月21日現在で「18.0.0.209」と表示されていれば最新版を利用しており、この記事で取り上げる悪用が確認されている脆弱性の影響は受けません。尚、Windows Vistaや7など、環境によってはブラウザで動作するFlashPlayerのバージョンが違うことがあります。バージョンチェックはPCで利用している全てのブラウザで確認し、最新版でない場合は即時アップデートすることを強く推奨します。

国内で確認されている悪用の動向

国内の複数のWebサイトが改ざんされ、ExploitにAdobe FlashPlayerの脆弱性を悪用している事例が確認されています。Exploitが成功して感染するマルウェアは「EMDIVI」と「PlugX」に大きくは分類されます。ただし、これらが同一グループによるものかどうかなど、背後関係に関する詳細な情報は明らかとなっていません。

No 改ざんされた可能性があるサイト 改ざん時期 Exploit PayLoad
1 安全衛生技術試験協会 7月10日 12時〜17時半 CVE-2015-5119 EMDIVI
2 都立立川国際中等教育学校 7月10日 11時23分〜7月15日16時45分 CVE-2015-5119 EMDIVI
3 国際交流サービス協会 7月14日時点でFireEye確認 コスメテックへ遷移
4 コスメテック 7月14日時点でFireEye確認 CVE-2015-5122 PlugX
5 日本ベンチャーキャピタル協会 7月14日〜22日 CVE-2015-5122? N/A
6 日本海難防止協会 7月13日時点のキャッシュ確認 N/A N/A
7 梅津ようせい Homepage 7月13日時点のキャッシュ確認 N/A N/A
8 尾崎行雄記念財団 7月13日時点のキャッシュ確認 N/A N/A
9 江東区議会議員鈴木きよと議員公式サイト 7月15日時点のキャッシュ確認 N/A N/A

尚、これらはセキュリティベンダの調査やメディアの報道で公開された改ざん事例であり、全ての改ざん事例の掲示を保証するものではありません。

マルウェア情報

以下、事例との組み合わせが確認できていないものも含めて列挙します。

確認事例 種類 内容 ファイル名 ハッシュ(SHA256)
1 Exploit CVE-2015-5119 movie.swf e9302fe774e22e2b34a395f8e56c6976fe354bb88b5dcfda4ee36984eebd9340
1 Payload EMDIVI Rdws.exe dc3c90084e8c47414ccb17fd70d3c2b051a293efcc29dc57a6d273293e0001ec
4 Exploit CVE-2015-5122 movie.swf 07636a23317edbbcac16b90a9228eb3da8a08f717656d8a5bde9547589915cee
4 Payload PlugX Rdws.exe df5f1b802d553cddd3b99d1901a87d0d1f42431b366cfb0ed25f465285e38d27
5 Exploit CVE-2015-5122? movie.swf 0ff3a404dd658a650a2ac4067c78cfd737eb7f7438865f065a1e7e8043494d15
9 Exploit CVE-2015-5122 movie.swf 4b902476097b78ac661f1dc677db605fb240135d981290a90ed0549517515a62
通信先情報
確認事例 区分 ホスト名 ホスティング
1 Exploit www[.]exam[.]or[.]jp/movie.swf GMO CLOUD K.K.
1 C2 www[.]n-fit-sub[.]com GMO CLOUD K.K.
1 C2 www[.]sakuranorei[.]com N/A
2 Exploit? www[.]tachikawachuto-e[.]metro[.]tokyo[.]psyweb[.]jp GMO CLOUD K.K.
3 Landing www[.]ihcsa[.]or[.]jp/zaigaikoukan/zaigaikoukansencho-1 Otsuka Corporation
4 Exploit cosmetech[.]co[.]jp/css/movie.html NTT Communications
2,4 C2 amxil[.]opmuert[.]org AWS
5 Exploit www[.]jvca[.]jp/movie[.]swf GMO CLOUD K.K.
6 Exploit? www[.]nikkaibo[.]or[.]jp/wordpress/movie[.]html NTT Communications
7 Exploit? www[.]umetsuyosei[.]jp/movie[.]html WebLife.inc
8 Exploit? www[.]ozakiyukio[.]jp/movie[.]html WebLife.inc
9 Exploit www[.]ki410suzuki[.]jp/movie[.]html WebLife.inc
  • ポートは80や443など複数確認しています。

公式発表

改ざん事実について発表している組織は次の通り。

事例(1) 安全衛生技術試験協会

被害の状況

被害組織 発表日 感染台数 概要
都立立川国際中等教育学校 3台 7月15日 同行サイトを通じて教職員端末が感染
東京都 9台 7月21日 安全衛生技術試験協会等を通じて主税局他の職員端末が感染
  • 同時期に報道されている環境省ハローワークの関連性は不明です。
  • 東京都の9台に学校分3台が含まれるかは不明。
  • 東京都は総務省からの連絡を受け全ログを確認しマルウェア感染を把握した経緯。感染したマルウェアがEMDIVIかどうかは不明。*1
  • 東京都の調査によれば広告経由(読売・朝日新聞のWebサイト経由)で感染した可能性があると報道。*2
東京都のマルウェア感染

報道によれば次の情報が漏えいした可能性があります。

漏えいした可能性のある情報 件数
個人、法人の次の情報
・名前
・住所
・生年月日
・還付金額
・口座番号
2,709件
生徒の次の情報*3
・顔写真
・名前など
不明
  • 主税局職員の端末に保存されていたが、これは内規では違反とされる行為であった。違反端末は全部で4台が確認されている。
  • 東京都は総務省からの連絡を受けて事案を把握した。*4

謝辞

このまとめは次の方から頂いた情報を元に追記、修正を行っています。ありがとうございます。

  • @0x009AD6_810さん
  • @GreenShallotさん

更新履歴

  • 2015年7月22日 AM 新規作成
  • 2015年7月22日 AM 事例2の誤植を一旦削除(後で修正予定)
  • 2015年7月22日 AM 検体情報追記
  • 2015年7月22日 PM 検体情報追記・修正
  • 2015年7月22日 PM 通信先、改ざんされたサイトを追記
  • 2015年7月25日 AM 通信先のホスティング元を追記