Flash/Flexの脆弱性と差し迫るリスク、ご存知ですか?

マイグレーション

本記事では、Flashの脆弱性リスクやサポート終了の背景、企業の実施するべき対応策をお伝えします。

Adobe Flashは1996年のリリース以来、Webサイトや業務システムに多用されてきました。アドビシステムズが無償提供するプラグインAdobe Flash PlayerをWebブラウザに組み込むことで、ブラウザー上で動画や音声を再生できます。「Apache Flex」は、Flash Player上で動くRIA(リッチインターネットアプリケーション)を作成するための開発環境とフレームワークで、柔軟なインターフェイスを実現できることから、企業の業務システムも数多くFlexで開発されました。しかし、近年では深刻な脆弱性が数多く報告されるようになり、開発元のアドビシステムズは2020年末でのFlashのサポート終了を発表しています。同時に主要なブラウザーでFlashを実行できなくなるため、Flexで開発された業務システムを利用している企業では、対策が急務となっています。

頻繁に見つかるFlashの脆弱性!HTML5の普及で利用者が急減

Flashの脆弱性を悪用したサイバー攻撃は、2015年ごろから急増しました。2015年1月から5月までのわずか5か月間で、62件も脆弱性が報告されています。この年の7月には、イタリアの情報技術企業であるハッキングチーム社から流出したデータにFlashの深刻な脆弱性の情報が含まれており、世間を騒がせました。その後も数か月ごとに脆弱性が発見され、そのたびにセキュリティ修正版がリリースされています。Flashの脆弱性を利用したサイバー攻撃は、情報流出やウイルス感染、クラッシュ、乗っ取りといった深刻な被害につながる恐れがあり、主要なブラウザーでは徐々にFlashの自動再生が行われなくなっていきました。

一方で、モバイル向けブラウザーでは、早くからFlashに代わる技術としてHTML5などのオープン規格が普及し、アドビシステムズは2011年にモバイル向けFlashの開発を終了しています。昨今では、PC向けブラウザーでも同様に、HTML5が動画や音声を表現する技術として浸透しつつあります。Chromeブラウザーの統計では、2014年に80%あったFlash使用サイトは、2017年では17%にまで低下しています。

こうした状況を受けて、2017年7月25日、アドビシステムズは2020年末でFlash Playerのアップデート・配布を終了することを宣言したのです。開発環境であるFlexのサポートも完全に終了します。既存のFlashコンテンツは 2020年までにHTML5などのオープンな標準技術に移行することが推奨されています。

主要なブラウザがFlash機能を廃止!Flexシステムは移行が必須に

Flash Playerのサポート終了に伴い、Apple、Google、Microsoft、Mozillaといった主要なブラウザーベンダーも、自社のブラウザーにおいてFlash対応を段階的に廃止する計画を公表しています。最新のブラウザーでFlashが実行できなくなるため、Flexで開発した業務システムを継続して利用することはできません。
Flashに関する各社の対応予定は次のとおりです。

Google(Chrome)

2017年10月 Flashの実行前にユーザーの確認を必須化
2019年7月 Flashをデフォルトで無効化
2020年12月 Flash機能を削除

Mozilla(Firefox)

2017年8月 Flashの実行にはサイトごとにユーザーの設定が必要
2019年 ほとんどのユーザーでFlashをデフォルトで無効化
2020年 Flash機能を削除。ただしFirefox延長サポート版(ESR)ユーザーのみ2020年末まではFlashの利用を可能とする。

Microsoft(IE/Edge)

2018年 EdgeではサイトごとにFlash有効化の状況をブラウザーが記憶
2018年後半 EdgeではFlashを実行するために訪問ごとにユーザーの許可が必要
2019年後半 EdgeとIEの両方で、Flashをデフォルトで無効化
2020年末まで EdgeとIEの両方で、Flashを実行不可

このほか、Safari を提供しているAppleやFacebookも、同様のスケジュールでFlashを無効化していくとしています。
このように、2020年末までに主要なブラウザーでFlashが利用できなくなるため、企業はFlexで開発したWeb系業務システムをHTML5などに移行する必要があるのです。常に最新版のブラウザーを利用しないとサイバー攻撃の標的となりやすく、セキュリティ上、大きなリスクがあるからです。
Flashの脆弱性は2015年以降、年々増加しています。今後も新たな脆弱性が発見される可能性が大きく、サイバー攻撃による被害が甚大化するリスクがあります。リスクを低減するためには、できる限り早急に対応することが望ましいと言えます。

ここが違う!シーイーシーのFlexマイグレーションサービス

そこで、シーイーシーでは、Flexで開発された業務システムを利用している企業に向けて、現行システムを今後も安全にご利用いただけるように、HTML5/Angularへ移行するサービスをご用意しています。
自動変換ツールを活用し、サーバーサイドのロジックを変更することなく、Flexで構築されたシステムをHTML5/Angularアプリケーションに移行します。
FlexのMXML/ActionScriptをHTML5/Angularに移行し、通信方式を変更することで、既存システムのビジネスロジックに影響を与えずに移行します。
サーバーサイドのロジックは変更しないため、効率的な移行を実現できます。

シーイーシーのFlexマイグレーションの特長

  1. 自動変換ツールの活用で高品質かつ効率的な移行
    MXML/ActionScriptの標準的な記載箇所の移行は、変換ツールにより自動的に行います。
    徹底して自動化ツールやナレッジ活用を進めることで効率化を行い、高い品質を確保します。
  2. サーバーサイドのマイグレーションにも柔軟に対応
    Flexと合わせてアプリケーションを構成しているサーバーサイドアプリケーションのバージョンアップなどにも対応可能です。
    また、データベースのバージョンアップや、OracleからSQL Serverなどへのデータベース変更、データベース変更に伴うSQL変換にも対応が可能です。
  3. セキュリティ対策に大きな強み
    Flexから脱却するだけでは、セキュリティ対策が十分とは言えません。シーイーシーのトータルセキュリティソリューション「Cyber NEXT」を活用することで、セキュリティ対策を強化できます。シーイーシーはセキュリティサービスプロバイダーとしての使命のもと、最新世代のテクノロジーで、進化し続けるセキュリティの脅威に対抗し、お客様のビジネスを守ります。進化し続けるセキュリティの脅威に対抗し、お客様のビジネスを守ります。
    トータルセキュリティソリューション「Cyber NEXT」
  4. 便利なワンストップ/トータルソリューション
    アセスメントから、設計・開発・テスト・導入、運用・保守に至るまで、すべての移行プロセスにワンストップで対応します。
    最適なインフラ環境の構築・セキュリティ対策・アプリケーション改修・データ移行など、マイグレーションにまつわるお客様のご要望に、トータルにお応えします。

サービス提供の流れ

まずは無料診断を実施します。作業に着手する前に概算見積をご確認いただけるので安心です。ステップ1で調査分析・パイロットコンバージョンを実施した後、ステップ2から本格的な対応に移ります。

あらためましてFlashは、過去に多くの脆弱性を指摘されており、今後もサイバー攻撃の要因となるリスクがあります。開発元のアドビシステムズは、Flashのサポートを2020年末に完全に終了することを発表しており、主要なブラウザもFlash対応を段階的に廃止する予定です。Flexで開発されたWeb系業務システムは、2020年までにHTML5などのオープンな標準技術に移行することが推奨されます。シーイーシーでは、自動変換ツールを活用し、効率的で高品質なFlexマイグレーションサービスを提供しています。Flexで開発された業務システムについて移行の課題をお持ちの方は、どうぞお気軽にお問い合わせてみてはいかがでしょうか。

関連サービス情報


Flash/Flexの移行に必要なすべてのプロセスをワンストップでサポート「Flash/Flexマイグレーションサービス
現行システムの延命にとどまらず、戦略的ICT投資が可能なシステムへと再生「マイグレーションサービス

関連記事一覧