もっと身近にセキュリティ

脆弱性を持て余した神々のAdobe

脆弱性。1日に何回その文字を目にすることでしょう。
ところでこんなニュースが舞い込んできました。

  • Amazon、Flash広告掲載拒否へ 9月1日から (ITmedia)
    http://www.itmedia.co.jp/news/articles/1508/21/news055.html)これまでAdobe Flash Playerは脆弱性が指摘され、アップデートし、すぐにまた新たな脆弱性が指摘され、というサイクルを頻繁に繰り返しています。Adobe社はそれだけ熱心にセキュリティの改善に取り組んでいると言えるかもしれませんが、2015年7月には複数のゼロデイ脆弱性が指摘され、攻撃ツールが出回るなど、危険な印象を抱く人は多いでしょう。
  • Adobe Flash Playerに相次ぎゼロデイ脆弱性発覚(@IT)
    http://www.atmarkit.co.jp/ait/articles/1507/13/news142.html)ゼロデイ脆弱性の発覚を受け、情報処理推進機構(IPA)は、パッチが公開されるまでの間、Flash Playerのアンインストールや無効化をするよう注意を呼びかけていました。(ちなみに筆者はアップデートの手間がかかるため、パッチリリースに関わらず、常にFlashを無効化しています。)

半年ほど前にはこんな記事もありました。

  • 『YouTubeがFlashを排除し、HTML5の最後の障害を取り除いた(週刊アスキー)』
    http://weekly.ascii.jp/elem/000/000/301/301730/)Flashを無効化しても、困る場面は少なくなってきているのではないでしょうか。
  • 『「niconico」見ている人にFlashの更新を促す偽メッセージ、実はマルウェア(INTERNET WATCH)』
    http://internet.watch.impress.co.jp/docs/news/20140620_654332.html)この事件は、Adobe社に非はないのですが、Adobe Flash Playerが脆弱性を抱えやすいために、人の心の不安につけ込む攻撃が成立してしまうという見方もできます。

セキュリティは面倒くさいものです。であれば、管理対象を絞る意味で、特定の技術は「使わない」といった選択肢も一考の価値があるのではないでしょうか。