GoogleとAdobeは、新たな提携を発表しました。これは、追加のプラグインを必要とせず、FlashをChromeウェブブラウザに直接統合するものです。プラグインを探してインストールし、更新するよりも、Flash自体の機能が優れているのは確かですが、Adobeは悪意のあるコードの格好の標的であり、Chromeのセキュリティ体制を弱める可能性があります。
主要なウェブブラウザ(Chromeに加え、Microsoft Internet Explorer、Mozilla Firefox、Apple Safariなど)の中で、先日開催されたPwn2Ownコンテストで唯一生き残ったのはGoogleブラウザでした。GoogleはChromeブラウザがSafariのダウンに使用されたのと同じ脆弱性に対して脆弱であることを認めましたが、コンテスト中にハッキングを受けなかった唯一のブラウザはChromeでした。
GoogleはFlashを組み込むことで、Chromeウェブブラウザを、Googleが管理していない全く新しいコード領域にさらし、ブラウザへの攻撃に悪用される可能性のある欠陥や脆弱性をもたらす可能性があります。Pwn2Ownコンテストが今年、セキュリティ専門家に何を教えたかと言えば、ウェブブラウザはコンピュータの弱点であり、安全なブラウザを選択し、維持することがシステム全体のセキュリティにとって重要であるということです。
コンピュータセキュリティの弱点をセキュリティチェーンの最も弱い部分と組み合わせるのは、コンピュータシステムを保護する上でおそらく良い方法とは言えません。Adobe自体を批判するつもりはありませんが、私がこの件を始めたわけではありません。悪意のあるコード開発者は、Adobeがクロスプラットフォームで広く利用されている標的であり、Microsoftや他のOSベンダーほど安全なアプリケーションコードを開発する成熟度が高くないことに気づいています。
Adobeの脆弱性攻撃はAdobe Flashだけに限りません。無料で配布されているAdobe Readerソフトウェアもゼロデイ攻撃に悩まされており、セキュリティベンダーのF-Secureは2010年にPDFベースの標的型攻撃が急増したと報告しています。
PDF Converter Proの開発元であるNuanceは、Adobeのセキュリティ脆弱性にシステムをさらすことなくPDFファイルを閲覧できる、独自の無料PDFリーダーを開発しました。Nuance PDF Readerソフトウェアは、デフォルトでJavaScript処理を無効にすることで、Adobe Readerよりも安全な代替手段を提供します。これはAdobeが実装していないセキュリティ対策です。
PCWorldの同僚であるハリー・マクラッケンは、FlashとChromeの統合について慎重ながらも楽観的な見方を示しています。「概念的には気に入っていますが、Flashの透明性が増すか低下するかが問題です。長年にわたり、Flashの再インストールとアップデート、(ストレージ容量の増設要求などの)奇妙なエラーへの対応、そしてFlashのクラッシュからの復旧にかなりの時間を無駄にしてきました。」
マクラッケン氏はさらにこう付け加えた。「統合版によってFlashがそのまま使えるようになれば、それは良いことです。そして、オープンでブラウザネイティブなHTML5技術と競合する世界において、Flashの受け入れやすさが向上するでしょう。おそらくそれがこの構想の一部なのでしょう。」
Flashがプラグインのダウンロードやインストールを必要とせず「ただ動作する」のであれば確かに理想的です。しかし、企業にとってさらに重要なのは、Flash、Reader、その他のAdobe製品がコンピュータのセキュリティを侵害し、ネットワークを不必要なリスクにさらすかどうかを検討することです。
既にChromeをご利用の場合は、内蔵Flash機能を有効または無効にすることができます。他のブラウザをご利用の場合は、Chromeを選択肢として検討する際に、内蔵Adobe Flash機能のセキュリティへの影響を考慮してください。
最後に一言。Adobeは現在、攻撃者の主な標的となっているかもしれませんが、他の分野でも警戒を怠らないでください。すべてのソフトウェアに既知の脆弱性に対するパッチを適用し、マルウェア対策ソフトウェアなどのセキュリティアプリケーションを最新の状態に保ってください。
トニー・ブラッドリーは、 『Unified Communications for Dummies』の共著者です。彼のTwitterアカウントは@Tony_BradleyPCWです。Facebookページをフォローするか、[email protected]までメールでご連絡ください。
