hankyoreh

　「もはやアドビ社はフラッシュサービスを終わらせる時だ」。最近フラッシュの弱点を利用したハッカーの攻撃が相次ぎ、フェイスブックのセキュリティー責任者が苦言を呈した。

　フェイスブックのセキュリティー責任者(CSO)のアレックス・スタモス氏(＠alexstamos)は12日(米現地時間)、自身のツイッターに「もはやアドビ社はフラッシュサービスを終了すると宣言し、各ブラウザにはキルビット(kill bit)の設定を要請しなければならない」と主張した。 キルビットとはユーザーのコンピュータにActive Xのような外部コードが設置および実行されないよう遮断するセキュリティープログラムをいう。

フェイスブックのセキュリティー担当者 =ツイッターよりキャプチャー//ハンギョレ新聞社

　スタモス氏はまた「今から一年半かかってもかまわないので、とりあえず目標日を決め、徐々に(フラッシュ)依存度を低くし、同時に全体生態系(セキュリティー)を向上させなければならない」と付け加えた。

　アドビ社が提供するフラッシュは、ウェブページに特殊効果などを与えるためのソフトウェアで、ウェブページ上で簡潔且つ効果的に動く図効果や音響を実現できるため広く使われている。

　だが、深刻な弱点が繰り返し発見され、セキュリティーの面からは“邪魔者”扱いを免れなかった。 操作されたウェブページへの訪問を誘導したり、メールやメッセンジャーで悪性コードを開くよう誘導するなど、ハッカーの“出入口”としてしばしば悪用されている。

　2010年、スティーブ・ジョブスは「アップルの機器はフラッシュ サービスをサポートしない」とし、その理由として脆弱なセキュリティー性を挙げたことがある。 たびたびiPhoneなどにより韓国内のウェブサイトがこわれていると見えたり、開けなかったりする理由は、まさにフラッシュをサポートしていないためだ。

　最近、韓国の国家情報院を含む多くの国の情報機関にスマート機器遠隔監視システム(RCS)を販売したことが知られ、“民間人不法査察”論議を呼び起こしたイタリアの「ハッキングチーム」も、アドビ フラッシュの多くの弱点を悪用した悪性コードなどを製作してきたことが明らかになった。 ハッキングチームのデータが文書ごと流出し、フラッシュの弱点が広く公開されると、各国のハッカーらはいちはやくこれを応用した悪性コードを作り攻撃に出ている。

　これに伴い、アドビ社も弱点を修正したフラッシュプレーヤー新バージョンを提供する予定だと明らかにした。だが、弱点修正パッチのみでは根本的なセキュリティー問題を解決できないという指摘がセキュリティー業界を中心に広がりつつある。

　今回の事態でユーザーはウェブサイトに接続して、知らないうちに新しい悪性コードが自動的に設置されることもありうる。 当分はセキュリティーが完全でないウェブサイト訪問は自制して、アップデート バージョンが出る時まではフラッシュ プレーヤーをオフにしておくことも一つの方法だ。