AdobeのFlashとAirがやばい、ホントにヤバい。使っちゃダメ。

Flashの脆弱性がここ数年で取り上げられています。2015年には、トレンドマイクロが、Flashに対するゼロデイアタックを確認したとすでに報告をしていました。

Adobe、Flash Playerへのゼロデイ攻撃発生を受け緊急更新プログラムを公開

Adobe は、2015年6月23日（米国時間）、同社 Flash Player のブラウザプラグインに存在するゼロデイ脆弱性「CVE-2015-3113」に対応するセキュリティ情報「APSB15-14」を公開しました。また、問題の脆弱性が標的型サイバー攻撃においてすでに利用されており、1）Windows 7 およびそれ以前の OS に対応する Internet Explorer（IE）、2）Windows XP の FireFox が標的となっているとして、注意を促しています。

Adobe Flash Playerの危険性

2015年7月13日、IPAが運営する脆弱性情報データベースJVN（Japan Vulnerability Notes）に報告された内容は更に衝撃でした。先日の脆弱性にパッチを当てたと見られる最新版に、更に数多くの脆弱性が発見されたとAdobeが報告しました。

（出典：https://jvndb.jvn.jp/index.html）

JVNによれば、ほとんどの脆弱性が「危険」な状態であり、いつ攻撃を受けてもおかしくない状態です。ITproによれば、これらの脆弱性は「致命的」かつ、Adobeから修正パッチも報告されていません。

脆弱性がある「Adobe Flash Player」のバージョン

脆弱性があるのは、以下のバージョンのソフトウェアです。

・Adobe Flash Player
18.0.0.203およびそれより前のバージョン（Windows版、Mac版）
・Adobe Flash Player
18.0.0.204およびそれより前のバージョン（Google ChromeがインストールされたLinux版）
・Adobe Flash Player Extended Support Release
13.0.0.302およびそれより前の13.xのバージョン（Windows版、Mac版）
・Adobe Flash Player Extended Support Release
11.2.202.481およびそれより前の11.xのバージョン（Linux版）

（出典：http://itpro.nikkeibp.co.jp/atcl/news/15/071302350/）

Adobeから一連の脆弱性修正パッチが公開されていますが、こう立て続けに脆弱性が発見されるという状態は決して望ましいとはいえません。

スマートフォンではすでにFlash対応はなく、HTML5に移行しています。PCにおいてもそろそろFlashは引退の時期かもしれません。

脆弱性が報告され続ける「Adobe Flash Player」

「Adobe Flash Player」は2018年以降も脆弱性が報告され続けています。

（出典：https://jvndb.jvn.jp/index.html）

報告された脆弱性の中には、緊急性や深刻度が高いセキュリティホールもあり、適切な対策が必要です。「Adobe Flash Player」は既に安定性を損なっています。ユーザーが使い続けるメリットはありません。

「Adobe Flash Player」の現状

Adobeが開発したFlashは、かつて多くのウェブサイトに採用されていました。しかし、脆弱性の問題を多数抱えたことで、衰退の一途を辿ります。現在のシステム開発で、ウェブサイトにFlashが組み込まれることはもうありません。なぜなら、Adobe自体がFlashを手放すことを決定しているからです。

Adobe Flash Playerのサポートはまもなく終了

Adobeは2020年にFlashを終了すると発表しました。この背景には主に三つの理由があります。

・セキュリティ問題の多発
・Flash利用サイトの減少
・タッチスクリーン未対応

Flashは2000年代後半からセキュリティ面の弱さが指摘されていました。それ以降、脆弱性の問題が報告され続けています。スマートフォンのベンダーはリスクに対応するため、Flashの搭載を見送りました。2011年には、Adobe自身がモバイル向けのFlashを開発終了しました。

この流れはPCにも波及し、現在Flashを利用したサイトは大幅に減少しています。各ブラウザがサポートを次々と終了しているため、インターネットユーザーもFlashを利用することが少なくなりました。

そして現代では、PCではなくスマートフォンでウェブサイトを訪れるユーザーが増加しています。タッチスクリーンに対応していないFlashは、スマートフォンで閲覧できません。Flashは完全に時代遅れの技術となっています。

既にHTML5へ移行が完了

2014年には、Flashの代替技術となり得るHTML5が勧告されました。HTML5は、ウェブアプリケーションのプラットフォームとしての機能が実装されているため、Flashは不要となります。

HTML5は、Flashよりも安全性が高く、ユーザーにとってもリスクを軽減できるメリットがあります。さらに、技術仕様が分かりやすく、ディベロッパーにとっても開発が容易になるメリットがあります。

2015年には、Adobeのオーサリングツールである「Flash Professional」が「Animate CC」に改名されました。「Animate CC」ではHTML5がサポートされ、AdobeがHTML5の推進に積極的な姿勢を見せています。既に、ウェブアプリケーションのプラットフォームはHTML5へ移行しており、Flashによる新規開発を行う必要性は皆無です。

問題に対処する方法

様々な問題を引き起こす可能性がある「Adobe Flash Player」をそのまま利用し続けるのは危険です。問題への対処としては、以下のような方法が挙げられます。

・Adobe Flash Playerのアップデート
・Adobe Flash Playerの無効化

また、「Adobe Air」には「Adobe Flash Player」のベースとなったテクノロジーが組み込まれています。こちらも特に使用する予定がなければ、アンインストールしておくことをおすすめします。

Adobe Flash Playerのアップデート

ユーザーの中には、過去のFlashプログラムを利用するために、Adobe Flash Playerが必要な方がいるかもしれません。どうしても利用したい場合には、脆弱性に対するリスクを下げるために、Adobe Flash Playerを最新バージョンにアップデートしておきましょう。

ブラウザにインストールされているAdobe Flash Playerのバージョンは以下のサイトで確認できます。

Flash Playerの状況確認（https://helpx.adobe.com/jp/flash-player/kb/235703.html）

各OS用の最新版のFlash Playerのバージョンが公開されているので、一致しているか確認してください。

最新版のFlash Playerは以下のサイトからインストールできます。

Adobe Flash Player（https://get.adobe.com/jp/flashplayer/）

また、多くのブラウザではFlashを実行するために、有効化やユーザーの許諾が必要となります。脆弱性に対するリスクを考慮した上で、Flashが実行できるように設定を変更しましょう。

Adobe Flash Playerの無効化

多くのブラウザにおいて、Flashの実行は無効化もしくは、確認されるように設定されています。もしも、有効化する設定をした場合、もしくはどう設定したか分からない場合には、以下の設定からAdobe Flash Playerを無効化しましょう。

・Chromeの場合

Chromeの場合は、Flash実行時の確認がデフォルト設定となっています。もしも、Flashの設定を変えたい場合は、以下のアドレスにアクセスしましょう。

chrome://settings/content/flash

「最初に確認する（推奨）」と表示されている場合は、Flash実行にユーザーの許可が必要です。「サイトでのFlashの実行をブロックする」と表示されている場合は、全てのサイトでFlashの実行がブロックされています。

「最初に確認する（推奨）」の設定でも特に問題はありませんが、一切のFlashを実行したくない場合には「サイトでのFlashの実行をブロックする」に設定しておきましょう。

・Safariの場合

Safariの場合は、Flashの実行がデフォルトで無効化されています。もしも、Flashの設定を変えたい場合は、メニューバーから「Safari」→「環境設定」を選択し、Safari環境設定へアクセスします。

環境設定画面で「Webサイト」タブを選択し、「プラグイン」セクションまでスクロールします。「プラグイン」の「Adobe Flash Player」にチェックボックスがあります。チェックを入れると有効化、チェックを外すと無効化されます。

特にFlashを利用する予定がなければ、チェックを外して無効化しておきましょう。Flashを利用したい場合には、サイトのURLを入力して個々に有効化するか、「これ以外のWebサイトでのデフォルト設定」で「確認」のオプションを選んでおくことをおすすめします。

・Internet Explorer（IE）の場合

Internet Explorer（IE）の場合は、Flashの実行がデフォルトで有効化されています。アドオンの管理画面からFlashを無効化することをおすすめします。

ブラウザの右上にある歯車マークをクリックして「アドオンの管理」を選択しましょう。「ツールバーと拡張機能」をクリックして、表示のプルダウンから「すべてのアドオン」を選択します。アドオン一覧から「Shockwave Flash Object」の状態を見ることで有効か無効か確認できます。

もしも有効化されている場合は、画面右下の「無効にする」ボタンを押して無効化しておきましょう。

・Firefoxの場合

Firefoxの場合は、Flashの実行がデフォルトで無効化されています。もしも、Flashの設定を変えたい場合は、メニューバーから「ツール」→「アドオン」を選択し、アドオンマネージャへアクセスします。

左のメニューから「プラグイン」を選択し、「Shockwave Flash」を探します。右に状態が表示されているので、プルダウンから選択します。

プラグインは「実行時に確認する」、「常に有効化する」、「無効化する」から選択できます。利用しない場合は「無効化する」を選択しましょう。利用する場合でも「実行時に確認する」の設定にしておくことをおすすめします。

・Edgeの場合

Edgeの場合は、Flashの実行がデフォルトで有効化されています。設定からFlashを無効化することをおすすめします。

ブラウザの右上にある「…」マークをクリックして「設定」を選択しましょう。詳細設定の「詳細設定の表示」ボタンを押して、詳細設定へ移動します。「Adobe Flash Playerを使う」のオンオフを切り替えることでFlashの設定を変更できます。

Edgeでは、Flash実行時に確認する設定ができません。普段は「Adobe Flash Playerを使う」の設定をオフにしておき、Flashを利用したい時にだけ一時的にオンにすることをおすすめします。

Adobe Airのアンインストール方法

Adobe Airはアプリケーションを複数のOSで実行できるランタイムです。Adobe Airをダウンロードしてインストールすることで、Adobe Air用のソフトウェアを実行できます。

PCにあらかじめインストールされたランタイムではないので、Adobe Airがインストールされている方は、別のソフトと一緒にインストールした可能性が考えられます。Adobe Air用のソフトウェアを特に利用する予定がなければ、アンインストールして構いません。

アンインストールは他のソフトウェアと同様に行うことが可能です。Windowsであれば、「プログラムの追加と削除」からアンインストールを実行します。macOSであれば、「Adobe AIR Uninstaller」を実行します。

Adobe AIRをアンインストール後に、Adobe AIRが必要なソフトウェアを実行すると、エラーが表示されます。また利用したい場合には、Adobe AIRをインストールしなおせば問題ありません。

まとめ

かつて、Flashは多くのユーザーを魅了し、様々なウェブサイトに利用されました。しかし、脆弱性の問題から衰退し、今やほとんど使われることはありません。

2020年にはFlash自体が終了します。Flashを実装したウェブサイトやサービスを保有している企業は、すぐにHTML5へ移行しましょう。

そして、ユーザーは致命的なセキュリティホールを持つFlashの利用を避ける必要があります。ブラウザの設定を見直し、Flashの実行を無効化しておきましょう。

[2019年5月13日アップデート]