ESET/マルウェア情報局
今年でサポートが終了するAdobe Flash、利用を続ける危険性
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「Adobe Flashを利用し続けると、どのような危険があるのか?」を再編集したものです。
2020年12月31日、Adobe Flash Player(以下、Flash Player)のサポートが終了する。しかしながら、Adobe Flashが使われているコンテンツを今でも利用しているというユーザーは少なくない。そこで本記事では旧規格を利用することのリスクに加え、Adobe Flashなどの拡張技術が脆弱性を抱えやすい性質などについて解説し、やむを得ずサポート終了までにAdobe Flashコンテンツを利用する際の注意点についても触れる。
Adobe Flashとは
Adobe Flashはウェブブラウザー上でゲームや動画コンテンツなどを楽しむための規格だ。各コンテンツを利用するためにはFlash Playerというブラウザー拡張機能(プラグイン)を使用する。ベースとなる技術は1996年にマクロメディア社が開発・リリースした「Shockwave Flash」。マクロメディア社が2005年にアドビシステムズ社に買収されて以降、「Adobe Flash」として開発・提供されるようになった。
当時のHTMLでは実現が難しかった、滑らかなアニメーションやインタラクティブなコンテンツといった、表現力豊かなコンテンツを開発できることと、ウェブサイトそのもののリッチ化競争の激化に後押しされ、Adobe Flashはさまざまなウェブサイトで採用されていった。ウェブサイト制作の現場では、Adobe Flashコンテンツの扱いに長けたメンバーを「フラッシャー」と呼び、その技術を習得するためのスクールなども開校されたほどだ。
2000年代以降になるとActionScriptという技術が登場し、プログラムでより高度な仕組みが実装できるようになった。ユーザーのアクションによってコンテンツが変化するインタラクティブなウェブサイトや、ライトなゲームなどでAdobe Flashの需要はさらに拡大。当時のYouTubeや業務用ウェブサービスのインターフェースなど、幅広い用途で採用されていく。
しかし、2007年に発売されたiPhoneでAdobe Flashが採用されなかったことを機に状況は一変する。アップル社がAdobe Flashの採用に至らなかった理由は幾つかあるが、タッチパネルを前提としたスマホ向けにAdobe Flashのテクノロジーが作られていなかったこと。また、動画再生時にAdobe Flashはソフトウェアでデコーディングを行なう関係で多くの電力を消費すること。そして、何よりも当時、モバイル時代を見据え、クロスプラットフォームを前提としたオープンなテクノロジーであるHTML5の標準化が進んでいたことが大きい。結果的に、iPhoneに採用されなかったことで、Adobe Flashコンテンツを採用するウェブサイトは減少していくこととなった。
2020年末にサポートが終了するFlash Player
アドビシステムズ社は2017年7月にFlash Playerのサポート終了を発表。当時はAdobe Flashを利用しているウェブサイトも多かったため、移行期間として3年の猶予を設け、その終了期日を2020年12月31日としている。アドビシステムズ社の発表を受け、HTML5、WebGL、WebAssemblyといった新しい技術への移行は加速した。
新しいウェブ規格であるHTML5では「videoタグ」が追加されたため、プラグインを必要とせずとも動画を再生できるようになった。2015年1月にはYouTubeも標準のプレイヤーをAdobe FlashからHTMLへと変更。現在では多くのウェブサイトで、すでにAdobe FlashからHTML5などの新技術へ移行が完了している。
またChromeやSafariなど主要なウェブブラウザーでは、初期設定でAdobe Flashは無効となっている。Adobe Flashで作成したコンテンツをユーザーが閲覧する場合には、手動で有効にしなければならない。2020年12月31日以降は、Adobe FlashコンテンツはFlash Playerでの実行もブロックされるため、実質的に閲覧できなくなる。
Flash Playerのセキュリティ的な問題点
Adobe Flashのサポートが終了することになった理由は複数あるが、なかでもセキュリティは大きな要因のひとつだろう。Adobe Flashを再生するためのプラグインであるFlash Playerは、たびたび脆弱性が報告され、問題視されていた。代表的な事例を挙げる。
・2009年初頭に流行したGumblarへの悪用
2009年になってウェブサイト改ざんとドライブ・バイ・ダウンロード攻撃を組み合わせた「Gumblar(ガンブラー)」と呼ばれるサイバー攻撃が相次いで発生。攻撃者はまず何かしらの方法でウェブサイトを改ざんし、ユーザーがアクセスした後にマルウェア配布用サーバーへ転送されるよう仕向ける。ユーザーが知らずにマルウェア配布用サーバーへアクセスすると、アプリケーションの脆弱性が悪用され、マルウェアに感染してしまう。この攻撃で頻繁に悪用されたのが、Flash Playerをはじめとするプラグインの脆弱性だった。ユーザーの端末に侵入したマルウェアはFTP情報を窃取し、さらなるウェブサイト改ざんを行なうため、連鎖的に被害が拡大した。
・2015年に起きたゼロデイ攻撃
2015年9月にアドビシステムズ社はFlash Playerの更新版をリリース。脆弱性を修正したと発表した。その内容は「メモリ破壊」、「スタックオーバーフロー」など23項目にも及ぶ。しかし同年10月には、新たなゼロデイ脆弱性を突いた攻撃が判明。この脆弱性はPawn StormやSednitなどと呼ばれるサイバー犯罪組織に悪用されている。この年はドライブ・バイ・ダウンロード攻撃が急増し、そのほとんどがFlash Playerの脆弱性を悪用したものだった。
プラグインであるFlash Playerに内包される危険性とは
なぜFlash Playerはセキュリティ的な問題を多く抱えることになったのか。実は問題があるのはAdobe Flashだけではない。Microsoft Silverlightも同様に、アニメーションなど動きのあるウェブサイトを実現することが可能だ。動きのあるコンテンツの再生には、プラグインやアドオンと呼ばれるウェブブラウザーの機能を拡張するソフトウェアが必要となる。ウェブブラウザーのプラグインは、ユーザーの利便性を高めてくれる反面、プラグインならではの危険性をはらんでいる。
・多くのユーザーに利用されている
Flash Playerは急速に普及し、2009年ごろにはほとんどのウェブブラウザーで利用されていた。当時の日本国内におけるインターネットユーザー数は、9000万人超。多くのユーザーが利用するプラットフォームは、サイバー攻撃者の的になりやすい。とりわけ利用率が高かったFlash Playerは、攻撃者に狙い撃ちにされた。
・ソフトウェアであるにもかかわらずバージョン管理がなされにくい
プラグインはソフトウェアであるがゆえに、脆弱性が生じることは避けられない。そのため、継続的なバージョンアップが必須となるが、当時のプラグインは十分なバージョン管理がされにくい状況だった。現在でこそウェブブラウザー側でFlash Playerのバージョンは自動的にアップデートされるが、2009年時点ではまだそのようなウェブブラウザーは登場していない。結果的にプラグインのバージョンアップを管理できない端末が増加し、ゼロデイ攻撃の温床となってしまった。
サポート終了までにやむなくAdobe Flashを利用する場合の注意点
今でもAdobe Flashを利用したコンテンツは少なからず存在する。しかし、よほどの特別な事情がない限り、それらのコンテンツの閲覧は推奨されない。2020年末のサポート終了までに、やむなくAdobe Flashを用いたコンテンツを閲覧する場合は、最低限下記の点に注意してほしい。
・OSやウェブブラウザーを最新版にする
もし、古いウェブブラウザーを利用している場合は、必ず最新版にアップデートしておこう。最新版のウェブブラウザーでは基本的にAdobe Flashは標準で無効となっており、意図しないコンテンツの再生を防ぐことができる。当然ながら、OSやその他のアプリケーションも最新版にしておくこと。
・Flash Playerを手動インストールしない
Flash Playerの配布を謳うウェブサイトがあっても、決してダウンロードしてはならない。ソフトウェアのサポート終了前後には偽物が多く出回る危険性もあるからだ。事実、過去にはWindowsムービーメーカーの偽物がインターネット上で配布され、問題となった。Flash Playerにもすでに偽物は存在し、同種の攻撃が増える可能性も十分考えられるだろう。現在のウェブブラウザーにはFlash Playerがあらかじめ組み込まれているため、ユーザーが手動で導入する必要はない。
記事リンク:偽Windowsムービーメーカーの無料ダウンロードサイトが見つかる
https://eset-info.canon-its.jp/malware_info/special/detail/180425.html
・ソーシャルエンジニアリングに注意する
ソーシャルエンジニアリングとは、人間の心理的な隙を突いた攻撃のことを指す。最近では、Flash Playerのアップデートアラートを偽装するマルウェアも登場している。「期限切れなので更新してください」など、本物に酷似した更新画面を表示し、本物のプログラムに紛れてマルウェアをインストールさせるといった手法だ。ユーザーのセキュリティ意識や不安を逆手にとった悪質な攻撃といえる。
記事リンク:Adobe Flashのアップデートを偽装しマルウェアを配信、Turlaが新たなバックドアを仕掛ける
https://eset-info.canon-its.jp/malware_info/trend/detail/200528.html
Adobe Flashに限らず、古い規格を利用し続けることはリスクが高い。実際のところ、利用者が減ってしまった技術に対しては、ベンダー側もなるべくコストをかけたくないのが本音だろう。また、業務で利用しているサービスにこのような古い技術が使われているならば、代替手段を検討したほうがよい。自社のウェブサイトにAdobe Flashが使われているならば、削除するか別のコンテンツに置き換えておこう。そのまま残しておくことは犯罪行為に加担しているようなものという認識を持ちたい。
Flash Playerのサポート終了まで残りわずかな期間ではあるが、終了間際には関連した詐欺行為の増加が予想される。くれぐれも慎重に、情報収集を適切に行ない判断するようにしてほしい。