最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆PayPal、アメーバ、ドラゴンクエスト、三井住友銀のフィッシングに注意(対策協議会)(2015/07/10) | メイン | ◆サイト使用料等の架空請求で「プリペイドカード」悪用が頻発(2015/07/14) »

2015/07/13

◆Flash Playerに未修整の深刻な脆弱性2件、一般ユーザーも対策を(2015/07/13)

 Flash Playerに、未修整の深刻な脆弱性が2件存在することがわかった。うち1件については、攻撃コードがすでに攻撃ツール(エクスプロイトキット)に組み込まれており、いつ被害にあってもおかしくない危険な状況だ。

 アドビシステムズは、11日に公開、12日に更新したセキュリティ情報の中で、Flash Playerに深刻な脆弱性「CVE-2015-5122」「CVE-2015-5123」が存在することと、これらを悪用する攻撃が成功した場合、パソコンをのっとられるおそれがあることを明らかにしている。これらに対処する最新版は、同社から今週中(日本時間で13日からの週)に公開される予定だ。

 Flash Playerをめぐっては、8日、ゼロデイ攻撃に対処した最新版が公開されたばかりだが、新たに見つかった脆弱性2件はこの最新版にも存在している。

 9日付の本通信でもお伝えしたが、イタリアのセキュリティ企業が不正アクセスを受けて機密情報が流出し、ネット上に公開されるという事件が起きており、流出した情報の中に今回見つかった脆弱性の情報が含まれていたとみられている。

 すでに「CVE-2015-5122」を悪用するコードがエクスプロイトキットに組み込まれているという報告もある。エクスプロイトキットとは、改ざんされたWebサイトの誘導先などに仕掛けられる攻撃ツールのこと。現時点においては、Flash Playerを利用している人は誰でも、下記の対策をとらない限り、Webサイトをごく普通に閲覧するだけでマルウェア(ウイルス)に感染してしまう可能性がある。

■一般ユーザーにできる対策は

 脆弱性を修正した最新版が公開されるまでの間、Flash Playerをアンインストールするか、「無効化」することをおすすめする。
 手っ取り早くて効果が確実なのはFlash Playerをアンインストールすることだが、以下のブラウザを利用している場合、ブラウザ自体にもともとFlash Playerが組み込まれているため、Flash Playerのみをアンインストールするということができない。これらを使用している場合は無効化の設定をしよう。
・Windows 8/8.1に搭載されているInternet Explorer10/11
・Google Chrome

<Flash Playerをアンインストールする>
 ブラウザを閉じた状態で、コントロールパネルの[プログラムと機能]または[プログラムのアンインストール]を開き、Adobe Flash Playerがあったら選択して削除する。Active X版とNPAPI版の両方がある場合は、どちらも削除する。または、下記ページを参考に、アドビが提供する専用のアンインストーラーを利用する方法もある。
・Flash Playerをアンインストールする方法(アドビ)
https://helpx.adobe.com/jp/flash-player/kb/230810.html

 最新版が公開されたら、下記のアドビのサイトからFlash Playerをダウンロードしてインストールしなおそう。

<Windows 8/8.1でInternet Explorer 10/11を利用している場合>
 Flash Playerを無効化する。Internet Explorerを起動し、[ツール]メニュー(歯車のマーク)から[アドオンの管理]を開く。左側にある[表示]の下の[すべてのアドオン]で「Shockwave Flash Object(発行元 Microsoft Windows Third Party Apllication Component)」を選択し、下部にある[無効にする]ボタンを押す。脆弱性に対処した最新版が公開されたら、同様の手順でFlash Playerを有効化しよう。
・Internet Explorerのアドオンを管理する(マイクロソフト)
http://windows.microsoft.com/ja-jp/internet-explorer/manage-add-ons

<Google Chromeを利用している場合>
 Flash Playerを無効化する。Google Chromeを起動し、アドレスバーに「chrome:plugins」と入力し、Enterキーを押す。[プラグイン]ページが開いたら、[Adobe Flash Player]を探して[無効にする]ボタンを押す。脆弱性に対処した最新版が公開されたら、同様の手順でFlash Playerを有効化しよう。
・Chromeでプラグインを使用する~特定のプラグインを有効または無効にする(Google)
https://support.google.com/chrome/answer/142064?hl=ja

 なお、業務に影響があるなどの理由で、どうしてもFlash Playerをアンインストールまたは無効化することが困難な場合は、各ブラウザに用意されている「Click to Play(クリック トゥ プレイ)」の仕組みを利用することもできる。Click to Playは、ユーザーがクリックして許可した場合にのみ読み込みを行う機能だ。

 Internet Explorerでは、下記ページを参考にすべてのサイトで「ActiveXフィルター」を有効にしてから、Flash Playerを利用したい個々のサイトでActiveXフィルターを無効にする。
・ActiveXコントロールを使う(マイクロソフト)
http://windows.microsoft.com/ja-jp/internet-explorer/use-activex-filtering

 Google Chromeでは、下記ページを参考に「プラグインコンテンツをいつ実行するかを選択する」を有効にする。
・Chromeでプラグインを使用する(Google)
https://support.google.com/chrome/answer/142064?hl=ja

 Firefoxでは、下記ページを参考に「実行時に確認する」を有効にする。
・Adobe Flash を "クリックして実行" する設定にする(mozilla)
https://support.mozilla.org/ja/kb/set-adobe-flash-click-play-firefox

(2015/07/13 ネットセキュリティニュース)

【関連URL】
・Security Advisory for Adobe Flash Player[英文](アドビ)
https://helpx.adobe.com/security/products/flash-player/apsa15-04.html
・Flash Playerのダウンロード(アドビ)
http://get.adobe.com/jp/flashplayer/

投稿情報: 11:10 |

|