情報処理推進機構(IPA)は26日、脆弱性対策情報データベース「JVN iPedia」に今年7~9月に登録した、脆弱性対策情報の統計や事例を紹介する活動報告レポートを公開した。その中の「Adobe Flash Playerの脆弱性対策情報について」は、多くの方に注目していただきたい情報だ。
「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を日本語で公開しているもの。公開情報の大半は、NIST(米国国立標準技術研究所)が運営する脆弱性データベース「NVD(National Vulnerability Database)」の翻訳記事だが、国内の脆弱性対策情報ポータルサイトJVN(Japan Vulnerability Notes)で公表した情報や、国内のソフトウェア開発者が公開した情報も、ここに集約されている。この「JVN iPedia」の第3四半期の活動状況をまとめたものが、今回公開されたレポートだ。
こうした定期レポートは退屈な数字の羅列になりがちだが、本レポートの第1章「注目情報」には多くの方に気に留めておいていただきたい情報が載ることがあり、今回の「Adobe Flash Playerの脆弱性対策情報について」はそのひとつだ。
<関連URL>
・脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第3四半期(7月~9月)](IPA)
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2015q3.html
・JVN iPedia
http://jvndb.jvn.jp/
■脆弱性攻撃の標的にされるFlash Player
Adobe Flash Playerは、現在も多くのWebサイトで使われている、Flashコンテンツを再生するソフトウェアだ。Internet Explorerの一部やEdge、Chromeには標準で組み込まれており、アドビシステムズからは、FirefoxやInternet Explorer用のプラグインが無料で配布されている。Flash Player自体は、ブラウザの一部として動作しているので、特別な再生ソフトを使用しているような感じはなく、ほとんどの方が意識せずにFlash Playerの機能を使用して動画再生などを行っている。
Flash Playerの脆弱性対策情報の登録件数は、今四半期だけで95件あり、1月から9月末までの累計件数は190件にのぼるという。これは、昨年の公開件数76件の2.5倍にあたる。今四半期に登録された95件中85件は、深刻度が最も高い「レベルIII(危険)」に分類される脆弱性で、これはJVN iPedia全体に占める「レベルIII(危険)」脆弱性の割合40.1%の倍以上の割合となっている。危険度の高い脆弱性が多くあったとしても、それが悪用されなければ、ユーザーには影響をおよぼさない。ところがFlash Playerの場合には、悪用されることも多いのだ。IPAのレポートには、悪用状況が分かる情報がないので、アドビシステムズが発表した過去の数字をご紹介する。
同社によると、Flash Playerは昨年1年間で15回のセキュリティアップデートが行われ、計76件の脆弱性が修正された。15回のアップデートのうち4回は、脆弱性の修正前に攻撃に悪用された、いわゆる「ゼロデイ攻撃」に対処したものだった。今年は、10月17日までに計15回のセキュリティアップデートが行われており、215件の脆弱性が修正されている。ゼロデイ攻撃に対処したアップデートは7回と、攻撃が多発していることがわかる。
今年7月には、ハッキング被害を受けたイタリアのセキュリティ企業から流出し、インターネット上に公開されてしまった脆弱性を悪用したゼロデイ攻撃が行われており、この時には、改ざんされた日本国内のWebサイト経由でも攻撃が行われた。安全だったはずのWebサイトにアクセスすると、知らない間にマルウェアに感染してしまう可能性があったのだ。
Flash Playerの脆弱性は、ゼロデイ攻撃のほかにも、アップデート直後に悪用されるケースが多発しており、IPAは、Flash Playerの利用者に対し、常に最新の状態を維持するよう呼びかけている。また、Flash Playerが不要な場合には、ブラウザの設定などで無効化するか、アンインストールするといった対策を実施するよう勧めている。
■Flash Playerを最新状態に保つ「アップデート」の方法
システムにインストールされているFlash Playerは、Flash Playerの状況確認ページやバージョン確認ページにアクセスするとわかる。FlashPlayerがインストールされている場合には、Windowsの「コントロールパネル」やMacの「システム環境設定」に、「Flash Player」が追加される。アイコンを開いて[更新]タブを表示すると、バージョンが確認でき、「今すぐチェック」ボタンのクリックで、アップデートの確認や、同社サイトで配布されている最新版のダウンロードが行える。
アップデートは、特に設定を変更していなければ自動的に行われるようになっているが、タイムラグ生ずると未修正のまま攻撃にさらされてしまうおそれがあるので、可能な限り積極的に更新するようにしたい。
Internet Explorer 10/11およびEdgeが搭載しているFlashPlayerについては、Windows Updateを通じて最新版が配布されている。更新は自動的に行われるが、Windows Updateから直ちに更新することも可能だ。
Google Chromeが搭載しているFlash Playerについては、最新版が配信されるか、最新版を同梱したGoogle Chromeが配信される。アップデートは自動的に行われるが、直ちに更新することも可能だ。Flash Playerのみの更新時は、コンポーネント画面を開いて「pepper flash」の[アップデートを確認]ボタンを押す。コンポーネント画面は、アドレスバーに chrome://components と入力してEnterキーを押すと開く。Google Chrome本体と一緒に更新される場合は、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は設定アイコン(≡)→[ヘルプと概要]と進むと選択できる。
・Flash Playerの状況確認(アドビ)
https://helpx.adobe.com/jp/flash-player/kb/235703.html
・Flash Playerのバージョン確認(アドビ)
http://www.adobe.com/jp/software/flash/about/
Flash Playerが不要な場合には、アンインストールまたは無効化が推奨される。その方法については、次の記事でご紹介したい。
(2015/10/28 ネットセキュリティニュース)