Flash/Flexの脆弱性と差し迫るリスク、ご存知ですか?
Flashの脆弱性リスクやサポート終了の背景、企業の実施するべき対応策とは。
Adobe Flashは1996年のリリース以来、Webサイトや業務システムに多用されてきました。アドビシステムズが無償提供するプラグインAdobe Flash PlayerをWebブラウザに組み込むことで、ブラウザー上で動画や音声を再生できます。「Apache Flex」は、Flash Player上で動くRIA(リッチインターネットアプリケーション)を作成するための開発環境とフレームワークで、柔軟なインターフェイスを実現できることから、企業の業務システムも数多くFlexで開発されました。しかし、近年では深刻な脆弱性が数多く報告されるようになり、開発元のアドビシステムズは2020年末でのFlashのサポート終了しました。同時に主要なブラウザーでFlashを実行できなくなるため、Flexで開発された業務システムを利用している企業では、対策が急務となっています。
目次
頻繁に見つかるFlashの脆弱性!HTML5の普及で利用者が急減
Flashの脆弱性を悪用したサイバー攻撃は、2015年ごろから急増しました。2015年1月から5月までのわずか5か月間で、62件も脆弱性が報告されています。この年の7月には、イタリアの情報技術企業であるハッキングチーム社から流出したデータにFlashの深刻な脆弱性の情報が含まれており、世間を騒がせました。その後も数か月ごとに脆弱性が発見され、そのたびにセキュリティ修正版がリリースされています。Flashの脆弱性を利用したサイバー攻撃は、情報流出やウイルス感染、クラッシュ、乗っ取りといった深刻な被害につながる恐れがあり、主要なブラウザーでは徐々にFlashの自動再生が行われなくなっていきました。
一方で、モバイル向けブラウザーでは、早くからFlashに代わる技術としてHTML5などのオープン規格が普及し、アドビシステムズは2011年にモバイル向けFlashの開発を終了しています。昨今では、PC向けブラウザーでも同様に、HTML5が動画や音声を表現する技術として浸透しつつあります。Chromeブラウザーの統計では、2014年に80%あったFlash使用サイトは、2017年では17%にまで低下しています。
主要なブラウザがFlash機能を廃止!Flexシステムは移行が必須に
Flash Playerのサポート終了に伴い、Apple、Google、Microsoft、Mozillaといった主要なブラウザーベンダーも、自社のブラウザーにおいてFlash対応を段階的に廃止する計画を公表しています。最新のブラウザーでFlashが実行できなくなるため、Flexで開発した業務システムを継続して利用することはできません。
Flashに関する各社の対応予定は次のとおりです。
Google(Chrome)
2017年10月 Flashの実行前にユーザーの確認を必須化
2019年7月 Flashをデフォルトで無効化
2020年12月 Flash機能を削除
Mozilla(Firefox)
2017年8月 Flashの実行にはサイトごとにユーザーの設定が必要
2019年 ほとんどのユーザーでFlashをデフォルトで無効化
2020年 Flash機能を削除。ただしFirefox延長サポート版(ESR)ユーザーのみ2020年末まではFlashの利用を可能とする。
Microsoft(IE/Edge)
2018年 EdgeではサイトごとにFlash有効化の状況をブラウザーが記憶
2018年後半 EdgeではFlashを実行するために訪問ごとにユーザーの許可が必要
2019年後半 EdgeとIEの両方で、Flashをデフォルトで無効化
2020年末まで EdgeとIEの両方で、Flashを実行不可
まとめ
Flashは、過去に多くの脆弱性を指摘されており、今後もサイバー攻撃の要因となるリスクがあります。開発元のアドビシステムズは、Flashのサポートを2020年末に完全に終了し、主要なブラウザもFlash対応を段階的に廃止する予定です。Flexで開発されたWeb系業務システムは、早々に、HTML5などのオープンな標準技術に移行することが推奨されます。
貴社のお悩みに、弊社専任担当が個別にアドバイスをさせていただく相談会や現行システムの無料診断も実施しています。お気軽にお問合せください。
