一刻も早くFlashコンテンツを消滅させたい?各社の思惑。

一刻も早くFlashコンテンツを消滅させたい?各社の思惑。
■ 店頭より得で、予約しやすいオンラインショップ。
 → ドコモオンラインショップ
 → auオンラインショップ
 → ソフトバンクオンラインショップ

最近さらに活発に「Flash排除」の動きが加速化しています。今回はそれらを俯瞰しながらFlashの危険性について書いていきたいと思います。

ページにFlashファイルがあるだけで問題発生。

Flash脆弱性によるDOS攻撃や任意コード実行が相変わらず起こっています。つい最近(2016年7月12日)もアドビシステムズ社は更新プログラムを公表しましたが、今年に入ってもう10件目になります。

いうまでもありませんが、Flash Playerを使用しているなら常に最新版にしてください。

最近の動きを時系列で追ってみましょう

2016/07/21 FirefoxがFlashを段階的に排除、2017年にはデフォルトで無効にすると発表
2016/07/13「Adobe Flash Player」のセキュリティ更新が公開 – 脆弱性52件へ対応
2016/06/16「Adobe Flash Player」のセキュリティ更新が公開
2016/06/15 次期「Safari 10」では最初からAdobe Flashが無効化される
2016/05/17 Flash停止がついにChromeでデフォルトの初期設定になり再生ブロックされることが決定

などなど、直近2ヶ月だけでもネガティブなニュースでいっぱいです。

情報処理機構IPAサイトでは常にセキュリティの最新情報をアップしているのでこちらの情報もチェックしておきましょう。

image04

当機構は日々のセキュリティ対策のためPCにインストールされたソフトが最新版であるかどうかチェックできる独自開発ツール「My JVNバージョンチェッカ for.NET」の提供も行っているので、万全な対策を講じるならこちらもチェック。

IT社会は常に危険と隣り合わせの環境におかれています。今日も世界中でサイバーアタック攻撃が行われています。下記はArbor Net workが提供する世界中のDDOS攻撃のライブデータを可視化したデジタルアタックマップです。

参照:http://www.digitalattackmap.com/

image08
*Digital Attack Mapは、Arbor NetworkとGoogleが協力しDDOS攻撃をリアウタイムにビジュアル化しているサイトです。Arbor Networkは、ミシガン大学の研究から生まれこの研究に米国防高等研究計画局(DARPA)が出資し創設されました。。

それでも止まらない被害

Flash PlayerによるDOS攻撃は、近年個人ではなく法人を対象にして、情報、金銭狙いの犯罪に発展しています。

ニュースでもたくさん報じられているのでセキュリティ意識としては高くなっていても、個人で防げるものではありません。

法人が対象となっているなら、企業のWebサイトが安全な状態でなくてはなりません。Flash Playerを要するようなサイトだったら要注意です。

社員のPC被害だけではなくそこからサーバにアクセスして大規模な情報漏洩、搾取した情報をもとに恐喝事件も発生しています。

あなたの会社は大丈夫ですか。トレンドマイクロ株式会社(http://www.trendmicro.co.jp/jp/)の調査によると2015年におけるFlash Playerの脆弱性が攻撃対象となった自動感染は、国内720万アクセスに影響したと報告されています。

image07
国内から脆弱性攻撃サイトへのアクセス数推移(2015年トレンドマイクロ調査)

正規サイト感染などWeb経由の攻撃が拡大している背景には「エクスプロキット」と呼ばれる脆弱性攻撃ツールを使った手法が常套化しているということです。特にInternet Explorer、Adobe Flash、Java、Adobe Reader、Microsoft Silverlightなどの製品が脆弱性の攻撃対象になっていると言われているので、まだWebサイトにFlashを掲載していたり、Internet Explorerを使用している企業は警戒レベルをアップしたほうが良いでしょう。

実際に標的型サイバー攻撃(*)を受けた企業を同社が調査したところ発覚するまで5ヶ月以上。感染していないと安心している企業でも4社に1社はすでに侵入されていたということですから安心できる状況ではありません。

2015年に発覚した標的型サイバー攻撃事例は23件、公表されているだけで110万件近い情報漏洩となり前年と比べると4.6倍にのぼるということです。
(*)標的型サイバー攻撃:重要情報入手を目標とし特定の組織を攻撃対象としてその標的に特化して持続的に行われる一連の攻撃

Google Swiffy も撤退

Googleは、これらFlashの脆弱性問題についてFlashを阻止する対策に取り組んできました。2015年9月にはFlash広告の初期再生停止、ディスプレイネットワークのFlash広告については、自動でHTML5変換する機能を実装するなど、HTML5に移行する対策を行ってきました。中でもユーザに無料で提供してきたFlashファイルをオンライン上でHTML5変換できる”Swiffy”は、変換精度もかなり高かったので利用しているユーザも多くいました。

しかし、2016年6月15日、Googleは “Swiffy”の提供を2016年7月1日で停止すると発表
(参照:http://www.theinquirer.net/inquirer/news/2461768/google-kills-off-its-swiffy-flash-conversion-tool)

このニュースは、日本語での掲載がなかったため、知っている方は少ないかもしれません。

サービス停止の発表は急でしたが、Microsoft、Apple他ブラウザメーカーもHTML5促進措置も十分に成果を上げてきたという業界の状況(FlashとTHML5の推移についてはこちらを参照:bitWave『危険!Flashを掲載しているWeb運用者はご注意ください!』)からGoogleはWebにおけるFlashの阻止とHTML5促進の役割を終えたという見解からサービス停止に至ったと思われます。

「“Swiffy”を使おうと思っていたのに間に合わなかったー」と、思っている方は、Adobe Animate CCで変換を。「自社ではできないし、大量にFlashファイルがあって困ったー」というWeb担当者の方は、HTML5へ変換するサービスを提供している弊社までお問い合わせください。

■最新のiPhoneの購入・機種変更なら店頭より得で、予約しやすいオンラインショップ。
機種の頭金や使わないオプションパックをつけて年間何万円も損していませんか?
オンラインショップなら故障のサポートもしっかりしていて最低限の費用。待たされることもありません。
 → ドコモオンラインショップ
 → auオンラインショップ
 → ソフトバンクオンラインショップ

最新のiPhoneを得して乗り換えるなら、
キャッシュバックキャンペーン実施中!【おとくケータイ.net】
がお得です。