「Adobe Flash」の排除が進む。その理由とは

なんと！2016年12月にリリースされる最新版のChromeにて、音楽や動画などのリッチコンテンツの表示に、Flashではなく、HTML5がデフォルトで使用とされることが発表されました。

「Adobe Flash」の排除ってホント？

Flash？あのフラッシュ？そうです。あのAdobe Flash Playerです。

なぜ？あれだけみんな使っているツールをChromeがサポートしないって、一体どういうこと？たしかに。そう思う気持ちもわかります。しかも、これはChromeだけに限った話ではありません。各社ブラウザで「Flashの排除」は加速する一方なのです。

FireFoxでは先陣を切って、排除の発表を行い、すでに段階的にFlashの使用が制限されています。Safariでも同様に、初期状態からFlashが無効となる設定が施されております。Chromeは他のモダンブラウザから少し遅れる形となりますが、他社と同様にHTML5をスタンダードとして今後更新がされていくようです。そもそもなぜここまでFlashが嫌われているのでしょうか。それにはふかーいワケが。

「Adobe Flash」の問題点

そう、脆弱性です。

昨年初旬からFlashの脆弱性が取りざたされ始め、2015年6月にAdobe Flash PlayerにはPCを乗っ取られる凶悪な脆弱性あると判明したのです。

日本でも、IPA=情報処理推進機構から下記の注意文章が発行されたのでした。
「ウェブを閲覧することで DoS 攻撃や任意のコード（命令）を実行される可能性がある脆弱性（APSA16-02 および APSB16-15）が存在します。これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンが制御されたりして、様々な被害が発生する可能性があります。」

2015年には中国のハッカーにより、この脆弱性をついた攻撃がされはじめており、かなり大きなニュースとなりました。これを機に多くのウェブサービスが脱Flashの方向へ進み始めたのです。同時期にHTML5が盛んになっていたことも大きな要因です。

Googleのブログでは2016年8月9日「HTML 5はセキュリティが強化されており、消費電力も少なくページの読み込み時間も短い」ということで、FlashからHTML 5への移行を前進させることを発表し、Flashの更新プログラムに頼った対策から完全なる脱却を図ろうとしています。

脆弱性のある製品一覧

• Adobe Flash Player

21.0.0.226 およびそれ以前のバージョン (Windows、Macintosh)

• Adobe Flash Player Extended Support Release

18.0.0.343 およびそれ以前のバージョン (Windows、Macintosh)

• Adobe Flash Player for Google Chrome

21.0.0.216 およびそれ以前のバージョン (Windows、Macintosh、Linux、ChromeOS)

• Adobe Flash Player for Microsoft Edge and Internet Explorer 11 21.0.0.241 およびそれ以前のバージョン (Windows 10)
• Adobe Flash Player for Internet Explorer 11 21.0.0.241 およびそれ以前のバージョン (Windows 8.1)
• Adobe Flash Player for Linux11.2.202.616 およびそれ以前のバージョン (Linux)

回避策について

Adobe Flash Playerのアップデートを適用するまでの間は下記の回避策があります。ただ回避策を適用することで、一部アプリケーションが動作しなくなる可能性もあります。

• 信頼できない Flash コンテンツを表示しない
• ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能を有効にする
• Internet Explorer の「インターネット オプション」からセキュリティタブを開き、インターネットゾーンおよびローカルイントラネットゾーンのセキュリティのレベルを「高」に設定する。
• Adobe Flash Player をアンインストールまたは無効化する

アンインストールは下記URLから行えます。

https://helpx.adobe.com/jp/flash-player/kb/230810.html

やり方は簡単

1. ダッシュボードの「プラグイン」→「新規追加」検索ウィンドウにStealth Login Pageと入力し検索
2. Stealth Login Pageが表示されたら「いますぐインストール」を押す
3. 「プラグインを有効化」を押す
4. ダッシュボードの「設定」→「Stealth Login Page」を押す
5. Enter an authorization codeの右に任意のパスワードを入力し、「Save Settings」をクリック

次回のログイン画面にauthorization codeの入力スペースが表示されます。

WordPressのセキュリティ対策を知ろう！ 4.「プラグイン」

テーマやプラグインは公式のものを利用するのがベター。多くは一般ユーザーが作ったプラグインの場合、作ってそのまま、あるいは更新されないプラグインやテーマもあります。そういうものは脆弱性をついた攻撃の的になりやすいので、定期的に更新されセキュリティ面が担保されている公式のテーマやプラグインを使用するのが安全でしょう。

WordPressのセキュリティ対策を知ろう！ 5.「アクセス制限」

外部からwp-config.phpにアクセスさせないようにしましょう。

wp-config.phpはデータベースに接続するためのアカウント情報が記載されているため、WordPressを使用するうえで最も重要なファイルといっても過言ではありません。このファイルがハッカーの手に渡ってしまわないように、セキュリティ面は万全を期す必要があります。外部からのアクセスができないように設定しましょう。パーミッションを400にしておくと、管理者のみ「読み取り」の権限が与えられますので、忘れずにやっておくと良いでしょう。

まとめ

おそらく5の対策はエンジニアの対応が必要となるため、自社で対応できない場合は、制作会社さんに相談してみましょう。また、1と3については、簡単に設定できるものです。今すぐIDとパスワードを変更し、安全にWordPressを使用できるようにしましょう。