PR

サポートが完全終了した「Flash Player」は、いまも“ゾンビ”のように生き続けている

PR

 アドビが「Flash Player」のサポートを2020年末で完全に終了し、この1月にはコンテンツの実行を止める“キルスイッチ”を発動させた。しかし一部でFlashが使われていたり削除されずに残っていたりすることで“ゾンビ”のように生き残り、いまだにセキュリティ上のリスクであり続けている。

TEXT BY LILY HAY NEWMAN

WIRED(US)

ILLUSTRATION BY SAM WHITNEY; OSCAR WONG/GETTY IMAGES
ILLUSTRATION BY SAM WHITNEY; OSCAR WONG/GETTY IMAGES

中国北東部にある大連駅の鉄道事務所(大連車務段)で1月12日の午前8時15分過ぎ、コンピューターが誤作動し始めた。発車係が使うPCのブラウザーが、列車の詳細なダイヤを読み込まなくなったのである。その6時間後には、ウェブアプリから列車のデータを出力することもできなくなった。

中国版Twitterの「微博(ウェイボー)」やWeChat(微信)での鉄道事務所のアカウントの投稿と数日後に掲載された続報によると、IT担当の職員が解決するまで20時間にわたってシステムが不安定になったという。その原因とは、インターネット上のある重大な変化にあったようだが、不測の事態というわけではなかった。それはアドビの「Flash Player」の終焉だったのである。

2020年が終わりに近づくなか、アドビはFlash Playerのサポートを完全に終了した。この不評だったがノスタルジーに彩られたマルチメディアのシステムに対してアドビは、1月12日になってさらなる対応を進めた。Flashのアップデートで数カ月にわたって配布していた「キルスイッチ」を起動させたのである。

このスイッチはプレイヤーでのコンテンツの実行を阻止するもので、Flashのソフトウェアは実質的に使用不可能になった。アドビが何年も移行について注意を喚起してきた一方で、Google ChromeやFirefoxなどのブラウザーは、ユーザーをほかの標準的なシステムへと徐々に移行させてきた。アップルにいたっては、ウェブ開発者のFlash離れに10年を費やしてきたのである。

ところが、大連駅のような組織には注意が行き届いていなかったようだ。取り乱した職員はFlashの古いバージョンの違法コピーを作成しただけでなく、それを改修してWindowsの全バージョンで動くようにした。そうしてシステムの安定をはかったのである。

「21時間以上の闘いでした。誰も不平を漏らさず、誰も諦めませんでした。Flashの問題を解決すべく、わたしたちは希望の光を糧に前進したのです」と、駅の職員は事後分析している(ジャーナリストのトニー・リンが翻訳)。

Flashは「死ななかった」

大連駅での事件は、Flashが実際には「死んで」おらず、今後も世界中のネットワークのなかに(ときには誰にも知られることなく)存在し続けることを如実に示すことになった。中国本土はアドビが18年に提携した代理店のおかげで、Flashがいまだに正式に利用できる世界で唯一の場所である。しかし、一部のユーザーは中国専用バージョンのプログラムに問題があると訴えており、通常のバージョンを使い続けるための回避策を編み出している。

Flashは何十年もの間、ハッカー(特にワンクリックでマルウェアに感染する広告を用いた「マルバタイジング」を企む人々)によって悪用されてきた。アンインストールのし忘れや意図的なインストールの維持によって、ネットワークが今後何年も危険に晒される可能性がある。

結局のところ、最近更新されていないFlashのバージョンには、キルスイッチが内蔵されていないのだ。しかも、アドビがサポートを終了したことで、新たな脆弱性が表面化してもセキュリティパッチを当てることはできない。

「Flash Playerは、アンインストールしない限りシステムに残ります」と、アドビは「FAQ(よくある質問)」で回答している。「アドビは1月12日以降、Flash PlayerにおけるFlashコンテンツの実行をブロックしています。主要なブラウザーの提供元は、Flash Playerの実行を無効にしており、サポート終了日以降も引き続き無効となります」

マイクロソフトも昨年10月、Windows 8以降の追加アップデートをリリースしている。これはOSに内蔵されたバージョンのFlashを削除するためのものだ。

それでも安心できない理由

こうした多方面での対策にもかかわらず、インストールを続けるケースもあるだろう。インストールに伴うリスクは、企業や団体がソフトウェアを更新しなくなることだけではない。アドビが最後に出したFlashのリリースには、ネットワーク管理者がキルスイッチを実質無効化し、Flashの機能を「許可」リストに加えることのできる特別な企業向け機能が含まれていた。

これに対してアドビは、「ドメインレベルの許可リストの使用はいかなる場合も(中略)まったく奨励いたしませんし、アドビもサポートいたしません。完全にユーザーご自身の責任となります」と説明している。

デスクトップ版のFlashをアンインストールした企業であっても安心できない。定期的に更新していないのであれば、ブラウザー版について心配する必要があるのだ。アップデートを受け取っていない、もしくは簡単に受け取れないシステムの場合、Flash Playerがこの2カ所で起動されることで、リスクも2倍になる。

「Flashは何十年もの間、巨大なセキュリティホールでした。サイバー犯罪者のエコシステム全体が、Flashを利用しているユーザーを狙い撃ちにしています」と、アンチウイルス製品メーカーPC Maticの最高経営責任者(CEO)であるロブ・チェンは言う。「アドビがFlashを終了した現在も、脅威がすぐになくるわけではありません」

ハッカーのFlash離れが進む?

それでも、明るい情報もある。Flashの終了日が近づいてユーザーが減るに従い、ハッカーがFlashの新たな脆弱性の発見や、不正利用に費やす努力を徐々に減らしているのだと、研究者らは指摘する。ハッカーによって広く悪用された最近の脆弱性のひとつは、19年1月に表面化したメモリーの欠陥であり、標的のデバイスを制御できるものだった。

「このところ悪用ツールの作成者たちは、Flashの弱点に徐々に関心を示さなくなっています」と、アンチウイルス企業Malwarebytesの脅威インテリジェンスディレクターであるジェローム・セグラは言う。「その理由の一部はInternet Explorer(IE)の新たな脆弱性にあります。IEの重要性がいまでも高く、ドライブバイダウンロード攻撃に意味がある特定の国において、より正確な攻撃が可能になるのです」

しかしながら、Flash Playerプラグインがこれほど長く魅力的であり続けてきたことには理由があると、セグラは指摘する。オンライン広告との親和性が高いのだ。ネット上であちこちに登場することがなくなれば、ハッカーにとってFlashへの攻撃はそれほど好都合ではなくなる。しかし、攻撃用ツールキットの一部ではあり続けるだろう。

「Flashは『死んだ』かもしれませんが、それでも今後数年間は残り続けるでしょう」と、脅威追跡を行う企業Binary Defense SystemsのCEOであるデイビッド・ケネディは言う。ケネディは企業向けにペネトレーションテストを実施する企業も運営している。

「Flashはいまでも多くのシステムやアプリケーションで多用されており、更新に莫大なコストがかかることがあります。また、Flashに依存する仕組みになっているカスタムアプリケーションをもつ企業もあります。したがって、更新されていないシステムや頻繁な改修が実施されていないシステムには、いまでもセキュリティの穴が存在するのです」

大惨事は繰り返されない?

サポート期間が切れてパッチが当てられていないレガシーソフトウェアは、否応なくサイバーセキュリティ上の問題になる。例えば、常時稼働しているインフラの奥深くに眠るはるか昔の産業制御ソフトウェアや、IoTデバイスに使用されている古いネットワーキングプロトコルなどがそうだ。

マイクロソフトの「Windows XP」が、こうしたロングテール現象に悩まされたのは有名な話である。このため同社は、OSの重要なパッチを何度も、しかもサポートの正式終了後に何年間もリリースしなければならなかった。

研究者は、Flashを確実に終焉させるためにテック業界やアドビが努力したおかげで、Windows XPで起きたような大惨事がFlashで繰り返される可能性は低いと考えている。だが同時に、ハッカーがFlashの「戦術」に精通していることから、今後数年間でチャンスがあればいつでも躊躇なく悪用してくるだろうと戒めている。

この記事を共有する

おすすめ情報