Flash/Flexの脆弱性と差し迫るリスク、ご存知ですか?

マイグレーション

Flashの脆弱性リスクやサポート終了の背景、企業の実施するべき対応策とは。

Adobe Flashは1996年のリリース以来、Webサイトや業務システムに多用されてきました。アドビシステムズが無償提供するプラグインAdobe Flash PlayerをWebブラウザに組み込むことで、ブラウザー上で動画や音声を再生できます。「Apache Flex」は、Flash Player上で動くRIA(リッチインターネットアプリケーション)を作成するための開発環境とフレームワークで、柔軟なインターフェイスを実現できることから、企業の業務システムも数多くFlexで開発されました。しかし、近年では深刻な脆弱性が数多く報告されるようになり、開発元のアドビシステムズは2020年末でのFlashのサポート終了しました。同時に主要なブラウザーでFlashを実行できなくなるため、Flexで開発された業務システムを利用している企業では、対策が急務となっています。

頻繁に見つかるFlashの脆弱性!HTML5の普及で利用者が急減

Flashの脆弱性を悪用したサイバー攻撃は、2015年ごろから急増しました。2015年1月から5月までのわずか5か月間で、62件も脆弱性が報告されています。この年の7月には、イタリアの情報技術企業であるハッキングチーム社から流出したデータにFlashの深刻な脆弱性の情報が含まれており、世間を騒がせました。その後も数か月ごとに脆弱性が発見され、そのたびにセキュリティ修正版がリリースされています。Flashの脆弱性を利用したサイバー攻撃は、情報流出やウイルス感染、クラッシュ、乗っ取りといった深刻な被害につながる恐れがあり、主要なブラウザーでは徐々にFlashの自動再生が行われなくなっていきました。

一方で、モバイル向けブラウザーでは、早くからFlashに代わる技術としてHTML5などのオープン規格が普及し、アドビシステムズは2011年にモバイル向けFlashの開発を終了しています。昨今では、PC向けブラウザーでも同様に、HTML5が動画や音声を表現する技術として浸透しつつあります。Chromeブラウザーの統計では、2014年に80%あったFlash使用サイトは、2017年では17%にまで低下しています。

こうした状況を受けて、2017年7月25日、アドビシステムズは2020年末でFlash Playerのアップデート・配布を終了することを宣言したのです。開発環境であるFlexのサポートも完全に終了します。既存のFlashコンテンツは 2020年までにHTML5などのオープンな標準技術に移行することが推奨されています。

主要なブラウザがFlash機能を廃止!Flexシステムは移行が必須に

Flash Playerのサポート終了に伴い、Apple、Google、Microsoft、Mozillaといった主要なブラウザーベンダーも、自社のブラウザーにおいてFlash対応を段階的に廃止する計画を公表しています。最新のブラウザーでFlashが実行できなくなるため、Flexで開発した業務システムを継続して利用することはできません。
Flashに関する各社の対応予定は次のとおりです。

Google(Chrome)

2017年10月 Flashの実行前にユーザーの確認を必須化
2019年7月 Flashをデフォルトで無効化
2020年12月 Flash機能を削除

Mozilla(Firefox)

2017年8月 Flashの実行にはサイトごとにユーザーの設定が必要
2019年 ほとんどのユーザーでFlashをデフォルトで無効化
2020年 Flash機能を削除。ただしFirefox延長サポート版(ESR)ユーザーのみ2020年末まではFlashの利用を可能とする。

Microsoft(IE/Edge)

2018年 EdgeではサイトごとにFlash有効化の状況をブラウザーが記憶
2018年後半 EdgeではFlashを実行するために訪問ごとにユーザーの許可が必要
2019年後半 EdgeとIEの両方で、Flashをデフォルトで無効化
2020年末まで EdgeとIEの両方で、Flashを実行不可

このほか、Safari を提供しているAppleやFacebookも、同様のスケジュールでFlashを無効化していくとしています。
このように、2020年末までに主要なブラウザーでFlashが利用できなくなるため、企業はFlexで開発したWeb系業務システムをHTML5などに移行する必要があるのです。常に最新版のブラウザーを利用しないとサイバー攻撃の標的となりやすく、セキュリティ上、大きなリスクがあるからです。
Flashの脆弱性は2015年以降、年々増加しています。今後も新たな脆弱性が発見される可能性が大きく、サイバー攻撃による被害が甚大化するリスクがあります。リスクを低減するためには、できる限り早急に対応することが望ましいと言えます。

まとめ

Flashは、過去に多くの脆弱性を指摘されており、今後もサイバー攻撃の要因となるリスクがあります。開発元のアドビシステムズは、Flashのサポートを2020年末に完全に終了し、主要なブラウザもFlash対応を段階的に廃止する予定です。Flexで開発されたWeb系業務システムは、早々に、HTML5などのオープンな標準技術に移行することが推奨されます。
貴社のお悩みに、弊社専任担当が個別にアドバイスをさせていただく相談会や現行システムの無料診断も実施しています。お気軽にお問合せください。


お問い合わせ

関連記事一覧