Adobe SystemsのAdobe Flash Playerのセキュリティアップデートが10月13日に公開されたが、今回のアップデートでは修正されなかったゼロデイ攻撃をトレンドマイクロが確認した。
トレンドマイクロによると、2014年10月から確認されている標的型サイバー攻撃キャンペーンのPawn Storm 作戦を行っている攻撃者がAdobe Flash Playerに存在するゼロデイ脆弱性を悪用した攻撃を行っていた。影響を受けるのはAdobe Flash Player 19.0.0.185および19.0.0.207で、13日に公開されたアップデートではこの脆弱性は修正されていないため、アップデートを行ってもこの脆弱性が存在している。
Pawn Storm 作戦の前例では、複数の国の外務省に最新ニュースに関する情報のリンクが記載された標的型メールが送られ、リンク先へのアクセスにより脆弱性を利用したエクスプロイトコードが仕掛けられたサイトに誘導されるようになっていた。
今回同社が確認した攻撃に使用されたURLは4月に攻撃された際に利用されたURLに類似していた。
同社は、この脆弱性を既にAdobe Systemsに報告しており、Adobe Systemsはセキュリティアドバイザりを公開するとともに、翌週の10月19日の週にこの脆弱性を修正したアップデートを公開予定としている。
