Adobe Flashのない世界

Adobe Flashが公式にEOLを迎えた後、世の中はどうなっているのでしょうか。

2021年に入って間もなく、Adobe Flashは公式に終了しました。かつてのブラウザーゲームのファンには悲しい現実ですが、情報セキュリティのエキスパートのほとんどは安堵のため息を漏らしたことでしょう。かつてもてはやされたもののすっかり古くなったテクノロジーを、これ以上引っ張らずに済む世界が、ようやくやって来たということで。

ただ、本当にそんな世界が到来したのでしょうか。現実に目をやると、Adobeが何年も前から呼びかけていたにもかかわらず、別のツールへの切り替えができていない人たちがいます。その上、この死したテクノロジーを墓場から蘇らせる手段を発明する人々まで出てくる事態となっています。Flashの終了から1か月あまりが過ぎた今、Adobe Flashなき後の世界がどうなっているのか見てみることにしました。

大連の鉄道

1月に中国の大連で起きた鉄道の1件は、現在も係争中です。事態の深刻さに関しては意見が分かれるところですが、Flashを使ったコンテンツが見られなくなったことで機能不全が生じたという点については大方の見方が一致しています。公式のFlash終了日は1月1日でしたが、Adobeは11日間の猶予期間を設けました。1月12日になってもFlashを使い続けていたというのは率直に言って理解を超えていますが、とにかくその日、大連の鉄道システムの一部はまだFlashを使用していました(英語記事)。

Flashが直接的に混乱を引き起こしたのか、正確にどのシステムが関与していたのかは、さほど重要ではありません。メディアは運行面と発券面に問題が生じたと述べており、当局は問題のあったこと自体を否定しています(中国語)。何にせよ、テクニカルサポート部門は路線内の駅のコンピューターでFlashが機能するように全力を尽くし、システムのオペレーションを復活させました。Flashは現在問題なく動いており、その意味ではすべて通常に戻っています。

しかしながら、情報セキュリティの観点では、とても褒められた対応ではありません。重要インフラの一部が(重大なタスクではないとはいえ)、期限切れのテクノロジーを使用しているのです。

これとは別ながら関連するポイントとしては、アップデートの段階的実施があります。多くの大企業では、他とは切り離されたテスト環境でアップデートをテストしてから実際に適用するのが適正であるとして、このようにしています。大連鉄道もそれに従ったのかもしれません—私たちには知るよしもありませんが。ただし今回問題があったのは、アップデート手順ではありません。Flashが1月12日までアップデートされなかったのではなく、この日にFlashが完全に動作を終了したのです。キルスイッチは最後のアップデート(2020年12月8日)よりも前にコーディングされていました。実際、パッチ適用はどんなテスト環境でも問題なくできていたことでしょう。

今にして思えば、このように広く使われているテクノロジーを終了するに当たって、遅れて発動するキルスイッチを埋め込むという方法は最善策ではなかったのかもしれません。

南アフリカの国税庁

南アフリカ国税庁は国の税金収集を担う組織であり、納税申告の多くはオンラインで提出されます。1月12日、国税庁はWebフォームがAdobe Flashで作成されていることに突然気付きました(英語)。

国税庁が取った対策は、納税申告の期日を延長してフォームの改修を行うことではなく、Adobe Flash対応の独自ブラウザーをリリースすることでした。南アフリカの納税者は、もはやサポートを受けることのできないテクノロジーを使って、重要な納税情報を提出しなければなりません。

南アフリカ政府は、このブラウザーを一から作成したのではありません。一つのWebサイトにしかアクセスできない、最低限の機能だけを搭載したChromiumを使用しています。応急措置としては命に関わるほどではありませんが、このブラウザーを今後どうやって最新の状態に保っていくつもりなのかは不明です。

このプログラムは今のところWindows版しかありません。別のOSを使っている人たちは、Flashコンテンツを見るために代替策を探さねばならず、そこにはリスクが伴います。この措置が一時的なものであること、最終的にはFlashの使用をやめる判断となるであろうことを願います。

回避策いろいろ

Flashを実行する代替手段は確かにあります。困ったことに、そういった手段には需要があります。代替手段を求めているのは、Flashゲームのファンばかりではありません。かなりの大手企業でも、Flashベースの自社サービス(主に社内用)をいまだに使用しているところがあります。「2021年もFlashを実行する方法」で検索するとさまざまな方法がヒットしますが、そういった手段を採用するのは避けるべきです。

例えば、キルスイッチ実装前のバージョンのFlash Playerをインストールする方法があります。Adobeは古いバージョンのFlash PlayerへのリンクをWebサイトから削除しましたが、非公式サイトにはまだあります。どんなソフトウェアでも古いバージョンを使用するのには危険が伴いますが、ソフトウェアを非公式のサイトからダウンロードするのはさらに危険です。どこかの誰かがインストールパッケージに何かを追加していないとは言い切れません。

埋め込まれたキルスイッチを無効化することでFlashコンテンツの表示を有効にする手順も紹介されています。

中には、もう少し筋の通った手段もあります。例えば、Ruffle(最近のブラウザーサンドボックスを使用するFlash Playerエミュレーター)をベースにしたブラウザー拡張機能があります。Ruffle の開発者は、Ruffle はメモリ安全性を備えた言語「Rust」で記述されているため、一般的なFlashの問題や脆弱性の影響を受けないと述べています(英語)。

良い策のように思われますが、Ruffleが熱心な人々によって運営されるオープンソースのプロジェクトであることは念頭に置いておく必要があります。熱意が今後も続くかどうかは、今のところ何とも言えません。Ruffle自体にも脆弱性が存在する可能性があり、修正が必要な時が来るかもしれません。

専用のB2Bソリューションも現れました。例えばHarmanは、まだFlash Playerの使用停止に対応できない企業向けにFlashが有効なカスタムブラウザーを作成・サポートするため、Adobeと独占契約を結びました(英語記事)。

それでもFlashが必要な場合は

私たちからのご提案は、以下のとおりです。

  • もう一度考え直しましょう。Flashコンテンツを継続する代わりに、Webコンテンツの更新を検討してください。
  • 古いバージョンを実行して応急措置を施す場合は、仮想環境で行いましょう。ただし、どうしても必要な場合に限りましょう。
  • 安全のための対策をしてある場合でも、脆弱性を悪用しようとする動きを検知できるセキュリティソリューションの導入をお勧めします。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?