国内外のセキュリティ企業や組織は2008年5月27日以降、「Adobe Flash Player」の脆弱（ぜいじゃく）性を悪用する攻撃が確認されているとして注意を呼びかけている。正規のWebサイトが多数改ざんされて、Flash Playerの脆弱性を突くウイルス（悪質なプログラム）が仕掛けられている。このため、最新版（バージョン9.0.124.0）以外のFlash Playerを使っている場合には、改ざんページにアクセスするだけで被害に遭う恐れがある。

　今回確認された一連の攻撃では、2008年4月8日公開の最新版「Flash Player 9.0.124.0」で修正された脆弱性が悪用されている。当初は、未知の脆弱性を悪用する攻撃（ゼロデイ攻撃）と報告されたが、その後の調査により、最 新版で修正された脆弱性であることが明らかとなった。

　攻撃はWeb経由で行われる。正規の企業や組織のWebページが改ざんされ、この脆弱性を悪用する「Flashファイル（SWFファイル）」をダ ウンロードさせる文字列（コード）が埋め込まれる（図）。米マカフィーによれば、埋め込まれる文字列をキーワードにしてGoogleで検索したところ、 2008年5月27日時点でおよそ25万ページがヒットしたという。

　最新版（バージョン 9.0.124.0）以外のFlash Playerがインストールされた環境では、改ざんページにアクセスするだけで脆弱性を突かれ、悪質なFlashファイルに含まれたプログラム（ウイルス の実体）が勝手に実行される。そして、あるWebサイトに置かれた別のウイルスをダウンロードおよび実行する。ダウンロードされたウイルスの中には、オン ラインゲームのパスワードなどを収集し、攻撃者に送信するものが確認されている。

　Flash Playerを最新版にアップグレードしていれば、改ざんページにアクセスしてもウイルスが勝手に実行されることはない。最新版は同社の「Adobe Flash Player ダウンロードセンター」から入手可能。Flash Playerの自動更新機能からもバージョンアップできるという。

　現在インストールされているFlash Playerのバージョンは「Adobe Flash Playerのバージョンテスト」にアクセスすれば確認できる。なお、複数のWebブラウザーを使っている場合には要注意。Internet Explorerとそれ以外のブラウザーでは、インストールされているFlash Player（プラグイン）の種類が異なるので、それぞれのブラウザーについてバージョンアップする必要がある。

　なお、改ざんページに埋め込まれる「わな」は、Flash Playerの脆弱性を突くものだけではない。WindowsやRealPlayer、QuickTimeなどの脆弱性を悪用するものも存在する。 Flash Playerに限らず、利用しているソフトウエアすべての脆弱性を解消しておくことが重要だ。

• 米アドビ・システムズの情報（英語）
• 「Adobe Flash Player ダウンロードセンター」
• 「Adobe Flash Playerのバージョンテスト」