Adobe Flashは長らくハッカーやマルウェア開発者の主要な標的となってきました。ほぼどこにでも存在するこのアプリには多くの脆弱性があり、攻撃者にとっては、被害者を悪用し、セキュリティを侵害する魅力的な手段となっています。現在、従来のAdobe FlashとAndroidモバイルアプリ向けのAdobe Flashの両方が攻撃者の注目を集めています。
Adobe Flashはウェブブラウジングの定番であり、事実上ほぼすべてのWindows、Mac、Linux PCにインストールされているデファクトアプリです。モバイルアプリはAppleとAdobeの間で論争の的となっており、AppleのiOSモバイルプラットフォームから除外されていることは周知の事実です。しかし、FlashはライバルのAndroidデバイスにとって重要なセールスポイントとして大いに宣伝されました。
Adobeは先日、四半期ごとの定期アップデートの一環として、従来のFlashソフトウェアの新バージョンをリリースしました。このアップデートではソフトウェアのセキュリティ脆弱性が修正されましたが、攻撃者は依然として脆弱性を発見しており、Adobeは1週間後にFlashの新たなアップデートをリリースしました。
現在、Flashに対する攻撃は、Internet ExplorerウェブブラウザのFlash用ActiveXコントロールを標的とする悪意のあるMicrosoft Word添付ファイルを利用しています。この脅威から身を守るため、ユーザーはFlashを最新バージョンに更新する必要があります。また、消費者と個人の両方がAdobe Flashの自動更新機能を活用し、常に最新のアップデートが適用されるようにする必要があります。
モバイル側では、Flashは2つのプラットフォームのどちらを選ぶか迷う顧客にとって、良いマーケティングツールだったかもしれない。しかし、その魅力はすぐに薄れていった。Flash Mobileはバグが多く、リリース当初からパフォーマンスも不安定だった。Adobeは最近、Android版Flashのサポートを終了すると発表し、アプリは公式Google Playストアから削除された。
ユーザーにとっての問題は、AdobeがAndroid版Flashのサポートを終了した可能性があることですが、だからといってどこかにFlash版が存在しないわけではありません。多くのユーザーにとってAndroidのメリットの一つは、そのオープン性、そして公式Google Playストア以外にも様々なサードパーティサイトからアプリをダウンロードできることです。
しかし、攻撃者もこの事実を認識しており、それを悪用しています。Adobe Flashの人気と需要、そして一般ユーザーの無知さにつけ込み、攻撃者はFlashやそれに相当するものを装った不正アプリや悪意のあるアプリを大量に生み出しています。
偽Flashアプリの中には、脅威というより迷惑なものもあり、広告だらけのアプリを開いたり、広告付きのウェブサイトにユーザーをリダイレクトしたりします。こうしたアプリは、ユーザーを密かに広告サイトに誘導することで攻撃者に収益をもたらし、その広告サイトからトラフィック料を支払われます。しかし、偽Flashアプリの中には、より悪質なものもあり、Flashを装いながら悪質なアプリをインストールするトロイの木馬攻撃などが挙げられます。
Adobe Flash自体が問題であるように思えるかもしれませんが、必ずしもそうではありません。完璧なソフトウェアなど存在しません。Adobeが人気の標的となったのは、その弱点というよりも、むしろその成功によるところが大きいのです。ほぼすべてのプラットフォームとデバイスで利用できるという事実は、攻撃者にとって一種の聖杯となっているのです。
しかし、ここで学ぶべき教訓は、Adobe Flashを避けることではありません。攻撃者は巧妙であり、人気のサードパーティ製アプリケーションを悪用してセキュリティ制御を回避する方法を見つけ出すということです。このような脅威を検知・ブロックし、攻撃から身を守るためには、強力なクロスデバイスセキュリティソリューションが必要です。
