Flashは何十年もの間、ハッカー(特にワンクリックでマルウェアに感染する広告を用いた「マルバタイジング」を企む人々)によって悪用されてきた。アンインストールのし忘れや意図的なインストールの維持によって、ネットワークが今後何年も危険に晒される可能性がある。
結局のところ、最近更新されていないFlashのバージョンには、キルスイッチが内蔵されていないのだ。しかも、アドビがサポートを終了したことで、新たな脆弱性が表面化してもセキュリティパッチを当てることはできない。
「Flash Playerは、アンインストールしない限りシステムに残ります」と、アドビは「FAQ(よくある質問)」で回答している。「アドビは1月12日以降、Flash PlayerにおけるFlashコンテンツの実行をブロックしています。主要なブラウザーの提供元は、Flash Playerの実行を無効にしており、サポート終了日以降も引き続き無効となります」
マイクロソフトも昨年10月、Windows 8以降の追加アップデートをリリースしている。これはOSに内蔵されたバージョンのFlashを削除するためのものだ。
それでも安心できない理由
こうした多方面での対策にもかかわらず、インストールを続けるケースもあるだろう。インストールに伴うリスクは、企業や団体がソフトウェアを更新しなくなることだけではない。アドビが最後に出したFlashのリリースには、ネットワーク管理者がキルスイッチを実質無効化し、Flashの機能を「許可」リストに加えることのできる特別な企業向け機能が含まれていた。
これに対してアドビは、「ドメインレベルの許可リストの使用はいかなる場合も(中略)まったく奨励いたしませんし、アドビもサポートいたしません。完全にユーザーご自身の責任となります」と説明している。
デスクトップ版のFlashをアンインストールした企業であっても安心できない。定期的に更新していないのであれば、ブラウザー版について心配する必要があるのだ。アップデートを受け取っていない、もしくは簡単に受け取れないシステムの場合、Flash Playerがこの2カ所で起動されることで、リスクも2倍になる。
/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/YH64Q32JQBMF3LCPI3NOBF3UEU.jpg)
/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/T4IC65IT4FL5BPZHBXQVQKJ4CQ.jpg)
:quality(50)/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/ORNMQC7GTFNBZAYXNGZO2SBBNM.jpg)
:quality(50)/cloudfront-ap-northeast-1.images.arcpublishing.com/sankei/DYCNQIPASJOD3JHA2RS7N4LOWM.jpg)