最近FLASHが騒がしい。

さて、あなたはどのFLASHが頭の中でflashしますか?
①写真雑誌、②FLASHメモリ、③Adobe社のWebコンテンツ制作&再生ツール

①だったらフツーの人、②だったらハードウェア系のIT関係者、③だったらソフトウェア系のIT関係者ということになるでしょうか。
私は情報セキュリティを専門にしていますから③がピカッと光ります。何といっても最近の脆弱性情報の多くをこのソフトが提供していくれていますから、情報セキュリティ業界にとってはお得意様という感じです。 なにせ元旦からこのソフトの脆弱性情報とパッチが配布されるんですから、開発担当者の苦労が忍ばれます。

Flashは1996年生まれ。FutureWave SoftwareのFuture Splash Animatorという製品として登場し、Macromedia社に買収されてMacromedia Flashとして成長を遂げ、さらに2007年にAdobe社に買収され、Adobe Flashとして現在に至ります。
登場した当時は紙芝居程度の表現力しかなかった貧弱なHTMLだけのWebの世界にリッチコンテンツ(動画やベクタアニメーション、音声、インタラクティブな構成)を提供してくれる画期的な存在でした。 ファッション関係のウェブサイトをはじめ、おしゃれなWebサイトはALL Flash構成という黄金期が2010年位まで続きました。
ケチの付き始めは、2007年登場のiphoneがFlashに対応しなかったあたりからでしょうか。その後もiphoneが爆発的な普及をしてもFlash搭載を頑なに拒否し続けたSteve Jobsの先見の明が光ります。
そして2014年にHTML5が正式に勧告されたことで、Flashは完全に存在価値を失い、現在は過去のコンテンツを表示するためのソフトして、次々と暴かれる脆弱性の改修に励んでいるというのが現状です。
この栄枯盛衰物語はこの一枚の絵に端的に表現されています。

Flashの一生
もう一つ、似た運命をたどったソフトウェアがあります。 それは Microsoft Silverlight
Flashほど有名ではないけれど、Microsoft純正のリッチコンテンツ作成&再生ツールです。Microsoft製Flashと言った方がわかりやすいかと思います。 Flashというデファクトスタンダードがありながら登場したかは、Microsoftなりの算段があったのでしょう。Microsoftの言語系の開発ツールを使っている開発者にとっては、Macromedia流の開発言語や癖のある開発ツールではなく、Microsoft流の開発ツールが使えるメリットがあったのですが、時すでに遅し。

リッチコンテンツの開発者はMicrosoftの言語系の開発者とは異なる、デザイナーが本職の開発者が多く、すでにマクロメディアの開発環境に慣れていて、Silverlightを使うには、Microsoftの開発環境を新たに学ぶ必要があったのです。 開発者が増えない状況では普及するはずがなく、2011年のrelease5以降は新機能の追加はなく、バグフィックスのバージョンが出るだけで現在に至ります。

その一方で2011年頃からFlashがWindowsのコントロールパネルに入ってくることから、マイクロソフトは2011年でSilverlightを見限ったということになります。

Silverlightも脆弱性攻撃の標的によく使われます。 Windowsに標準で入っていることを知らないで使っている人が殆どですから、Windows updateで「オプションの更新」として出ていても更新しないで放置されているケースが多く、この脆弱性をついてシステムに侵入されることがありますので、ご注意ください。 というより、基本的にコントロールパネルを開いてSilverlightを削除すべきだと思います。

Flashコンテンツに関しては、新規に開発するところはないでしょうが、膨大な遺産があり、それらすべてがHTML5に置き換わるとも思えませんので、プログラムを削除してくださいとは言いにくい部分があります。
しかし、一ヶ月の間に何度も脆弱性が発見されるようでは、管理上問題があると言わざるを得ません。Flashサイトの利用頻度が低いのならば、基本的にFlashを削除して、必要になるたびにインストールするという方法も考えられます。 そうすれば最新のFlashプログラムを使うことになり、更新漏れの心配もなくなりますので、強くお勧めします。
東京都庁で2015年7月に発生したウィルス騒ぎは、Flashの脆弱性を突くタイプで、閲覧したページにあったバナー広告が表示されただけで感染するというものでした。 感染した時点で修正パッチが公開されてから一週間経過しており、都庁の情報システム部門でパッチ適用の是非を検証していたとコメントされていました。
大組織では、パッチの適用について、業務の運用に支障が起きないかを検証してから配布するのが当然ではありますが、一週間は遅すぎると言わざるを得ません。 マイクロソフトの提供するWindowsのシステムモジュールの修正であれば、あらゆる利用シーンを考慮した慎重な検証をせざるを得ませんが、Flashという特定のアプリケーションの修正であれば、基本的なパターンで調査をして問題なければ直ちに配布するスピード感が必要です。 なんでも時間をかければいいというものではありません。 脆弱性対策はスピードが重要であることを認識していただきたいと思います。
ゼロデイ攻撃という修正プログラムが公開される前に、攻撃が始まってしまうケースもあるくらいです。 一週間経てば、また新しい攻撃方法が開発されてしまう世の中です。 そんなペースでは、攻撃者の思うツボですよ。

弊社では、カスペルスキー社の法人用セキュリティソフト「Kaspersky Endpoint Security for Business」を導入していますが、この管理コンソールは実に良くできていて、管理するPCに入っているソフトウェアに脆弱性が発見され、パッチが公表されると、そのPCが赤く表示されます。 それだけなら普通のことですが、そのスピードが半端ではない。
つい先ほど、あるモジュールの修正プログラムを適用して、全PCが緑色になって安心したと思って一息ついていると、またPCが赤くなっている! 数分前に手動でWindows updateを動作させてmicrosoftのサイトに更新プログラムが存在しないことを確認したのに、今確認すると更新プログラムが存在している! Microsoftだけではなく、主要なソフトウェアメーカーの更新情報を常に確認しており、その情報収集力には感心してしまう。 Wiresharkの更新が出て、PCが赤くなったのには笑ってしまいました。

今回は脆弱性がなぜ発生するのかというお話もしようかと思っていましたが、ちょっと長くなりましたので、次回にいたします。

VMware Workstation 12 Player