トレンドマイクロは、1月20日以降に「Angler exploit kit(Angler EK)」に利用される不正なFlashファイル(拡張子はSWF)の検体を米国のユーザから入手したと発表した。

同社によると、この検体の1つは、セキュリティリサーチャーの Kafeine氏が報告したFlash Playerに対するエクスプロイトと同一のものであると考えている。しかし、感染経路はKafeine氏が報告したものと異なっていた。

Angler EKは、このゼロデイ脆弱性を利用した攻撃を拡散させているエクスプロイトキットであると考えられており、このゼロデイ脆弱性に関連したAngler EKの活動は、1月21日から急激に上昇している。

ゼロデイ脆弱性に関連したエクスプロイトキット「Angler EK」が組み込まれた Webサイトへのアクセス数 資料:トレンドマイクロ

これは、この脆弱性の存在が最初に明らかになった時期とほぼ同時で、被害を受けたユーザのほとんどは、米国のユーザとなっている。

「Angler EK」の被害を受けたユーザの国別分布資料 :トレンドマイクロ

SPNのフィードバックを解析したところ、ユーザのPCにエクスプロイトを侵入させるために、不正広告(malvertisement)が利用されていたことが示唆されている。エクスプロイトの解析はまだ完了していませんが、Adobe Flash Playerの最新バージョンに影響をすることが明らかになっている(現在は解消)。

Flash のエクスプロイトコードの感染経路 :トレンドマイクロ