Adobe Flash は 再び攻撃を受けており 、パッチが利用可能になる前に新たなセキュリティ ホールが悪用される「 ゼロデイ 」が発生しています。将来の問題から身を守る方法を次に示します。
悪意のある Web サイト、またはサードパーティの広告ネットワークからの悪意のある広告を含む Web サイトは、これらのバグのいずれかを悪用してコンピュータを侵害する可能性があります。
Click-to-Play を有効にする (または Flash を完全にアンインストールする)
理論的には、Flash をアンインストールしてこれらの問題を回避できます。 YouTube でさえ、最新の Web ブラウザーで最新の HTML5 ビデオを作成するために Flash を完全に廃止するなど、Flash の必要性はますます少なくなっています。 Flash を必要とする何らかのビデオ サイトに遭遇した場合の最悪のシナリオでは、スマートフォンやタブレットを取り出してモバイル サイトを使用することもできます。モバイル サイトは Flash なしで構築されています。
ただし、Flash が必要になる場合もあるため、ほとんどの人に Flash を完全にアンインストールすることはお勧めできません。 Flash をインストールしたい場合は、残念なことに、おそらくそうしているでしょうが、 クリック トゥ プレイを有効にすること が最善の選択肢です。これにより、Web サイトが必要なすべての Flash コンテンツを読み込むことができなくなります。サイトにアクセスしたときに、プレースホルダー アイコンをクリックするだけで、ビデオなどの特定の Flash 要素を読み込むことができます。 Flash は自動的には実行されないため、Web サイトにアクセスするだけで感染する「ドライブバイ」攻撃からユーザーを保護します。
ただし、Web サイトをホワイトリストに登録しないでください。
特定の信頼できるサイトに Flash コンテンツを自動的にロードできる Click-to-Play ホワイトリストは使用しないでください。その理由は次のとおりです。
最近の攻撃は、人気の動画サイトである Dailymotion の広告で発見されました。これは、人々が Dailymotion 動画を見るたびに追加のクリックを必要としないようにホワイトリストに登録する種類のサイトです。ただし、サイトをホワイトリストに登録すると、悪意のある広告を含むすべての Flash コンテンツの読み込みが許可されます。 Click-to-Play を使用し、メインのビデオ プレーヤーをクリックするだけでロードすれば、この攻撃は防止できます。Click-to-Play を使用すると、ページ上の特定の Flash 要素のみをロードできるため、脆弱性が軽減されます。
一部の広告はビデオプレーヤー内に配信されるため、Click-to-Play は万能薬ではありません。はい、ある種のゼロデイ脆弱性を利用してそこから悪用される可能性があります。しかし、すべてのリスクを回避することではなく、リスクを可能な限り最小限に抑えることが重要です。
Flash サンドボックスには Chrome、Chromium、または Opera を使用する
Flash のようなブラウザ プラグインは、セキュリティのために「サンドボックス」されるように作られていません。これには、Flash をクラックする攻撃がコンピュータ全体にアクセスできないように、権限の低い環境でプラグインを実行する必要があります。
Googleは、Google Chromeで使用されている「PPAPI」(または「Pepper API」)プラグインシステムと、Chromeの基礎を形成するオープンソースのChromiumブラウズによって、この問題を少し軽減しました。 PPAPI は、脆弱性からの保護に役立つ追加のサンドボックスを提供します。しかし、本当の解決策は プラグインを完全に置き換えること です。
Adobe の最近のセキュリティ情報 には、「Windows 8.1 以下で Internet Explorer および Firefox を実行しているシステムに対するドライブバイダウンロード攻撃によって、この脆弱性が実際に悪用されているという報告を認識しています。」と記載されています。 Chrome については明らかに言及されていませんが、これは PPAPI システムが追加のセキュリティを提供しているためである可能性があります。 Chrome ユーザーは、すべての問題から保護されているわけではないため、誤ったセキュリティ意識を持つべきではありません。しかし、Chrome はおそらく Flash を使用するのに最も安全なブラウザです。
Chrome には Flash プラグインが含まれていますが、 Adobe の Web サイトから Chromium または Opera 用の PPAPI プラグインをダウンロードすることもできます。 Chromium は Chrome と Opera の両方の基盤を形成しているため、3 つのブラウザは Flash に対して同じセキュリティ機能を提供する必要があります。
Flash を自動的に最新の状態に保つ
Flash プラグインを常に最新の状態に保ってください。これは、定義上、パッチがリリースされていないゼロデイから保護するものではありませんが、コンピュータ上の Flash プラグインを保護する上で重要な部分です。これらのセキュリティ ホールにパッチが適用されると、アップデートが提供されます。
これを行うにはいくつかの方法があります。 Google Chrome を使用している場合、Google は Chrome にサンドボックス (PPAPI) Flash プラグインを組み込みます。 Chrome Web ブラウザーとともに自動的に更新されるため、何も考える必要はありません。
Windows 8 または Windows 8.1 で Internet Explorer を使用している場合、Microsoft には IE に Flash プラグインのバージョンも含まれています。 Flash for IE の更新プログラムは、他のセキュリティ更新プログラムとともに Windows Update から受信します。
別のブラウザ (Windows の任意のバージョンの Firefox、Opera、または Chromium) を使用している場合。 Windows 7 以前の Internet Explorer でも、Flash の組み込みアップデータを使用する必要があります。 Flash では、インストール時に自動更新を有効にすることをお勧めしますが、コンピュータ上で自動更新が実際に有効になっていることを確認する必要があります。
Windows では、このオプションはコントロール パネルの Flash Player の下にあります。コントロール パネルを開き、「Flash」を検索してショートカットを見つけるか、「システムとセキュリティ」カテゴリをクリックして一番下までスクロールします。 「Flash Player」アイコンをクリックし、「詳細設定」タブをクリックして、自動更新が有効になっていることを確認します。
Flash に別のブラウザまたはブラウザ プロファイルを使用する
Flash を完全にアンインストールしたり、Click-to-Play のみに依存したりするのではなく、Flash が有効になっている別のブラウザ プロファイルを使用し、Flash が必要な場合にのみ開くことができます。
たとえば、ほとんどの時間 Firefox を使用している場合は、Flash 自体をアンインストールして、Google Chrome をインストールすることができます。 Flash コンテンツを使用する必要がある場合は、Google Chrome (Flash プレーヤーが組み込まれている) を起動します。または、ブラウザ自体で別の「プロファイル」(Chrome のユーザー アカウント)を作成し、メイン プロファイルでのみ Flash を無効にし、セカンダリ プロファイルで Flash を有効にしたままにすることもできます。これにより、Flash がメインのブラウザから離れた別の領域に隔離されます。
ブラウザのプラグインは危険です。実際、プラグインとその基盤となるプラグイン アーキテクチャ自体は、セキュリティを念頭に置いて設計されていません。 Java はその中で最悪です が、Flash でも問題が絶え間なく続きます。良いニュースとしては、おそらく必要なプラグインは Flash だけであり、Web への依存度は日を追うごとに減少しているということです。
