MTIyNDM2MjM0MDgwNDUzMjIy
Pocket

Adobe Flash、昔のWebのアニメーションのスタンダードは今や恐竜と同じ道をたどっている。YoutubeですらHTML5に移行した。今や見る影もないくらい落ちぶれた名声は、ここ数週間の間に明らかになった3つの深刻なセキュリティ脆弱性のおかげで更に打撃を受けた。

もう十分だろう。今こそWebユーザーはこのバグだらけで時代遅れなソフトウェアにいつまでもしがみつくのを止め、Flashをアンインストールする時だ。

確かに誰もが今すぐにそう出来るわけではないだろう。社内アプリなどでは未だにFlashを必要としたり、WebサイトでもFlashが無いと動かないものがある。しかし自身の安全とWebを良いものにしておくために、あなたは努力するべきだ。

お別れの時

ReadWriteもFlashの運命に終わりが差し迫っていることについて、2012年に喝采を送ったが、WebサイトOccupy Flashの匿名ライターの記事はこれの上を行くものだ。

Flashプレイヤーは死んだ。時代は変わったのだ。これはバグだらけで頻繁にクラッシュし、定期的にセキュリティアップデートが必要だ。ほとんどのモバイルデバイスで動作しない。これはWebテクノロジーがクローズで、企業の一方的な管理下に置かれていた時代の化石だ。今でもFlashに依存しているWebサイトはデスクトップブラウザを使わないユーザーの割合が急速に伸びている今の時代とは全く向いていない(そして往々にして機能しない)。Flash Cookieのせいで恐ろしいセキュリティ及びプライバシーの問題も抱えることになる

セキュリティ脆弱性について彼らが適当なことを言っているわけではない。最近見つかった脆弱性はすべてゼロデイ脆弱性と呼ばれるものによる。これは悪質なハッカーがこれまで見つかっていなかったバグを利用して攻撃を仕掛けるために利用されるものだ。

見つかった3つの脆弱性のうちの2つはまだマシなもので、攻撃が成立するためにはユーザーがスパムメールやテキスト等に散りばめられた悪質なリンクを踏む必要がある。今日びのユーザーは昔と比べてこんなものに引っかかるほど愚かではないだろう….と思いたい。

しかしTrendMicroによって発見された3つ目のものは悪質な誘導広告をつかったものであり、よってより多くのユーザーが影響を受けやすい。悪質な広告が仕込まれたトラフィック量が多いWebサイトに訪れた人は、誰でもシステムを乗っ取られる可能性があるのだ。

セキュリティ企業 Malwarebyteによって、これら悪質な広告が非常に多くの主流なサイトに仕掛けられていることがわかった。サイトにはdailymotion.comやtheblaze.com、nydailynews.com、tagged.com、webmail.earthlink.net、mail.twc.com、myj.uno.comなどが含まれる。広告によってユーザーは非常にタチが悪い攻撃を行うHanjuanが作動するためのサイトにリダイレクトされる。

Flash抜きになってみる

当たり障りのないサイトに飛んだだけでPCが感染したというのは気分の悪い話だ。出来る事ならFlashをアンインストールするべき時だ。(確かにAdobeはこの特定の脆弱性の対応パッチを出したが、あなたはそれをもう入れただろうか?同じようなことがあった場合、今後もそれを繰り返すのだろうか?)

以下がそのやり方だ。

Flashのアンインストール方法

アンインストーラーのダウンロードと実行が必要だ。AdobeはWindowsMacでその手順を提供している。

Flashをアンインストールできない場合どうしたらいいか

もし仕事でFlashが必要だったり、DailyMotion無しの生活は考えられなかったり、フェイスブックやアマゾンの再読み込みが遅くなってしまうような事がある場合、他に取れる手段はFlashBlockの様な拡張機能を使うことだ。これによりFlashが出来る事に制限をかけることが出来る。人気のサイトに悪質な広告が仕込まれている以上危険性があることは変わりないが、少なくともリスクを低減することは出来る。

Firefox:ツール > アドオン > プラグイン と遷移し、Shockwave Flashの設定で「実行時に確認する」(もしくは無効にする)を選択

Chrome: 設定 > 詳細設定 > プライバシー > コンテンツの設定 > プラグイン > クリックで再生する(もしくはディフォルトでブロック)を選択

FirefoxChromeではFlashblockが使えるほか、Firefoxの場合はNoScriptも使える。

Chromeのサンドボックスでも同じ防御策が取れるという意味でこれはあまり意味がないことかも知れない。ともあれどのブラウザであろうが関係なく、パッチが出たなら即当てた方がいいだろう。

トップ画像提供:ReadWrite

Pocket