Hacking Teamのリーク事案を受けて、Adobe FlashPlayerの脆弱性を悪用する動きが国内で複数確認されました。ここでは関連情報をまとめます。
このまとめを読む前に
皆様の使用するPCにインストールされたFlash Playerが最新版かどうかをAdobe社のバージョン確認サイトで確認を行ってください。最新版でなければすぐにFlashPlayerのアップデートを行ってください。また合わせてWindows Updateが行われているか確認し、Windowsを最新の状態にアップデートして下さい。(Windowsは7月2回アップデートが行われています。)
Windows、及びOSXを使用している場合、2015年7月21日現在で「18.0.0.209」と表示されていれば最新版を利用しており、この記事で取り上げる悪用が確認されている脆弱性の影響は受けません。尚、Windows Vistaや7など、環境によってはブラウザで動作するFlashPlayerのバージョンが違うことがあります。バージョンチェックはPCで利用している全てのブラウザで確認し、最新版でない場合は即時アップデートすることを強く推奨します。
国内で確認されている悪用の動向
国内の複数のWebサイトが改ざんされ、ExploitにAdobe FlashPlayerの脆弱性を悪用している事例が確認されています。Exploitが成功して感染するマルウェアは「EMDIVI」と「PlugX」に大きくは分類されます。ただし、これらが同一グループによるものかどうかなど、背後関係に関する詳細な情報は明らかとなっていません。
No | 改ざんされた可能性があるサイト | 改ざん時期 | Exploit | PayLoad |
---|---|---|---|---|
1 | 安全衛生技術試験協会 | 7月10日 12時〜17時半 | CVE-2015-5119 | EMDIVI |
2 | 都立立川国際中等教育学校 | 7月10日 11時23分〜7月15日16時45分 | CVE-2015-5119 | EMDIVI |
3 | 国際交流サービス協会 | 7月14日時点でFireEye確認 | コスメテックへ遷移 | − |
4 | コスメテック | 7月14日時点でFireEye確認 | CVE-2015-5122 | PlugX |
5 | 日本ベンチャーキャピタル協会 | 7月14日〜22日 | CVE-2015-5122? | N/A |
6 | 日本海難防止協会 | 7月13日時点のキャッシュ確認 | N/A | N/A |
7 | 梅津ようせい Homepage | 7月13日時点のキャッシュ確認 | N/A | N/A |
8 | 尾崎行雄記念財団 | 7月13日時点のキャッシュ確認 | N/A | N/A |
9 | 江東区議会議員鈴木きよと議員公式サイト | 7月15日時点のキャッシュ確認 | N/A | N/A |
尚、これらはセキュリティベンダの調査やメディアの報道で公開された改ざん事例であり、全ての改ざん事例の掲示を保証するものではありません。
マルウェア情報
以下、事例との組み合わせが確認できていないものも含めて列挙します。
確認事例 | 種類 | 内容 | ファイル名 | ハッシュ(SHA256) |
---|---|---|---|---|
1 | Exploit | CVE-2015-5119 | movie.swf | e9302fe774e22e2b34a395f8e56c6976fe354bb88b5dcfda4ee36984eebd9340 |
1 | Payload | EMDIVI | Rdws.exe | dc3c90084e8c47414ccb17fd70d3c2b051a293efcc29dc57a6d273293e0001ec |
4 | Exploit | CVE-2015-5122 | movie.swf | 07636a23317edbbcac16b90a9228eb3da8a08f717656d8a5bde9547589915cee |
4 | Payload | PlugX | Rdws.exe | df5f1b802d553cddd3b99d1901a87d0d1f42431b366cfb0ed25f465285e38d27 |
5 | Exploit | CVE-2015-5122? | movie.swf | 0ff3a404dd658a650a2ac4067c78cfd737eb7f7438865f065a1e7e8043494d15 |
9 | Exploit | CVE-2015-5122 | movie.swf | 4b902476097b78ac661f1dc677db605fb240135d981290a90ed0549517515a62 |
通信先情報
確認事例 | 区分 | ホスト名 | ホスティング元 |
---|---|---|---|
1 | Exploit | www[.]exam[.]or[.]jp/movie.swf | GMO CLOUD K.K. |
1 | C2 | www[.]n-fit-sub[.]com | GMO CLOUD K.K. |
1 | C2 | www[.]sakuranorei[.]com | N/A |
2 | Exploit? | www[.]tachikawachuto-e[.]metro[.]tokyo[.]psyweb[.]jp | GMO CLOUD K.K. |
3 | Landing | www[.]ihcsa[.]or[.]jp/zaigaikoukan/zaigaikoukansencho-1 | Otsuka Corporation |
4 | Exploit | cosmetech[.]co[.]jp/css/movie.html | NTT Communications |
2,4 | C2 | amxil[.]opmuert[.]org | AWS |
5 | Exploit | www[.]jvca[.]jp/movie[.]swf | GMO CLOUD K.K. |
6 | Exploit? | www[.]nikkaibo[.]or[.]jp/wordpress/movie[.]html | NTT Communications |
7 | Exploit? | www[.]umetsuyosei[.]jp/movie[.]html | WebLife.inc |
8 | Exploit? | www[.]ozakiyukio[.]jp/movie[.]html | WebLife.inc |
9 | Exploit | www[.]ki410suzuki[.]jp/movie[.]html | WebLife.inc |
- ポートは80や443など複数確認しています。
公式発表
改ざん事実について発表している組織は次の通り。
事例(1) 安全衛生技術試験協会
- 2015年7月17日 皆様へのお詫びとお知らせ (魚拓)
事例(2) 教育庁
- 2015年7月15日 都立立川国際中等教育学校のホームページの改ざん及びホームページの閲覧によるウィルス感染事故について (魚拓)
事例(5) 日本ベンチャーキャピタル協会
- 2015年7月23日 [PDF] 一般社団法人日本ベンチャーキャピタル協会ホームページの改ざんについて
被害の状況
被害組織 | 発表日 | 感染台数 | 概要 |
---|---|---|---|
都立立川国際中等教育学校 | 3台 | 7月15日 | 同行サイトを通じて教職員端末が感染 |
東京都 | 9台 | 7月21日 | 安全衛生技術試験協会等を通じて主税局他の職員端末が感染 |
関連サイト
- Second Adobe Flash Zero-Day CVE-2015-5122 from HackingTeam Exploited in Strategic Web Compromise Targeting Japanese Victims « Threat Research | FireEye Inc
- Flash Playerのゼロデイ脆弱性「CVE-2015-5119」による標的型攻撃を国内で確認 | トレンドマイクロ セキュリティブログ
- Flash Playerの脆弱性を狙うWeb改ざん攻撃を多数確認 | トレンドマイクロ セキュリティブログ
- 継続中の大規模な同時多発Web改ざん攻撃を詳細分析 | トレンドマイクロ セキュリティブログ
- 日本の正規サイト改ざんでFlash Playerの脆弱性を悪用したウイルス感染攻撃 ( Windows ) - 無題な濃いログ - Yahoo!ブログ
謝辞
このまとめは次の方から頂いた情報を元に追記、修正を行っています。ありがとうございます。
- @0x009AD6_810さん
- @GreenShallotさん
更新履歴
- 2015年7月22日 AM 新規作成
- 2015年7月22日 AM 事例2の誤植を一旦削除(後で修正予定)
- 2015年7月22日 AM 検体情報追記
- 2015年7月22日 PM 検体情報追記・修正
- 2015年7月22日 PM 通信先、改ざんされたサイトを追記
- 2015年7月25日 AM 通信先のホスティング元を追記
*1:都庁PCがウイルス感染 2709人に謝罪(東京都),日テレNEWS24,2015年7月22日アクセス:魚拓
*2:バナー広告でウイルス感染、不正サイト誘導 都職員、情報流出の恐れも,産経ニュース,2015年7月22日アクセス:魚拓
*3:都庁のPCウイルス感染 住民の個人情報など漏洩か,ANN,2015年7月22日アクセス:魚拓
*4:都職員PC感染、4台には内規違反の個人情報も,読売新聞,2015年7月22日アクセス:魚拓