Flash Playerのセキュリティリスク

このサイトでも、重さ改善のためにはFlash Playerの前のバージョンが有効と書いていましたが、あくまでリスクを理解した上で、自分でできる人が利用することを前提としていました(Flash関連は説明もリンク先も適当なのはそれが理由)。

Flash Playerが廃れた一因には、セキュリティリスクが多かったことがあります。古いバージョンのFlash Playerの利用は危険が伴います。

自己責任というのは、どのようなリスクがあるかを理解しリスクが現実になったときにどうすればいいかは想像した上で使うということです。

Flash Player 30では、29以前のセキュリティリスクが改善されています。つまり、30よりも前のバージョンにはリスクがあります※。

古いバージョンのFlash Playerを利用する際には、その点には留意してください。

古いバージョンの搭載されたブラウザも同じくリスクを抱えています。

アドビシステムズ社から Adobe Flash Player に関する脆弱性が公表(APSB18-19)されています。

既に、CVE-2018-5002の脆弱性を悪用した標的型攻撃が確認されているとの情報があるため、至急、修正プログラムを適用してください。

Adobe Flash Player の脆弱性対策について - 情報処理推進機構

Flash Player 用のセキュリティアップデート公開 | APSB18-19
概要

Windows 版、macOS 版、Linux 版、および Chrome OS 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートは、Adobe Flash Player 29.0.0.171 以前のバージョンのクリティカルな脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。

弊社では、CVE-2018-5002 がすでにWindows ユーザーを対象とする限定的な標的型攻撃に使用されているという報告を認識しています。これらの攻撃は、電子メールを介して配布する悪質な Flash Player コンテンツが埋め込まれた Office 文書を悪用します。

Adobe セキュリティ情報

30よりも前のバージョンは「クリティカルな脆弱性がある」、つまりリスクの評価は極めて高くなっています。

確認されているのはメールの添付ファイルに仕込んだものだけですが、原理としてはFlashコンテンツを再生させられれば実行されます。

「スクリプトを埋め込んだオフィスドキュメントを開いたら感染しちゃった」の仕組みです。

当然ながら、もっと古いものはさらに高いリスクを抱えており、広告再生で感染するバージョンもあります。この意味がわからないなら、最新版を利用しておくのが無難です。

リスクの評価は人それぞれですし、戻したからといって被害にあうとは限りません(ふつうは被害が生じないことが多いため個人レベルではリスクは軽視される)。ゲーム専用だから気にしないという人もいれば、仕事用PCで遊んでいる人もいることでしょう。家族と共用かもしれません。

リスクはそれぞれ異なります。ただ、踏み台にされるリスクはあるので戻すことの意味は理解しておく必要はあるでしょう。

>安全性が高く、きちんと動く急場しのぎ用ブラウザ PC版『Puffin Browser on Windows』


セキュリティを重視するブラウザでは Flash Player が自動更新されるようになっていますが、やろうと思えば Chrome でも前のバージョンに戻せます。ただ、おすすめしません。

※ 厳密に言えば、現バージョンにもおそらくリスクが含まれています。Flash Player 29で明らかになったのが今回の修正分です。2015年頃には、広告に仕込んだ悪意あるコードによる被害もありました。Flash Player が廃れたのはこういった問題(脆弱性といいます)をはらんでいたことも一因です。