「AdobeはFlash終了の日を発表すべき」とFacebookのセキュリティ担当が発言

by Tomas Caspers

Facebookでセキュリティ部門を統括するアレックス・ステイモス氏がTwitter上で「AdobeはFlash終了の日を発表すべきだ」と発言していたことが明らかになりました。AdobeのFlash Playerには次から次へと脆弱性が発見されており、セキュリティ関係のコミュニティでは不満が募っていたようです。

Facebook's new chief security officer wants to set a date to kill Flash | The Verge
http://www.theverge.com/2015/7/13/8948459/adobe-flash-insecure-says-facebook-cso

ステイモス氏の発言の原因の1つと考えられるのは6月25日、「Adobe Flash Player」をインストールしているWindows・Mac OS X・Linux搭載PCに、PCのコントロールがハッカーに奪われるゼロデイ脆弱性があることが判明したこと。

PCを乗っ取られる凶悪な脆弱性が「Flash Player」にあると判明、Adobeが緊急パッチを配布中 - GIGAZINE

また7月8日にはイタリアのセキュリティ企業「Hacking Team」がハッキング攻撃を受け、400GBに上る内部資料がネット上に流出。内部資料からはAdobeも把握していなかった、上記とは別のゼロデイ脆弱性をHacking Teamが知っていたことが明らかになりました。

政府に国民監視用スパイウェアを販売していた会社に反撃のハッキング、400GBの内部情報がネット上に流出 - GIGAZINE

Adobeは2015年1月・2月にもAdobe Flash Playerに深刻な脆弱性が発見されたとして緊急アップデートを実施しており、ステイモス氏の発言はこれら一連の流れを受けたものと見られています。ステイモス氏の実際の発言は以下の通り。「AdobeがFlash終了の日を告げ、ブラウザにKill bitを設定する時がやってきた」「今後18カ月でエコシステムにおけるアップグレードと依存のもつれを一度に解く唯一の方法が、終了の日を設けることだ」としています。

しかし、Adobeに対する反感はこれが初めてのことではありません。2010年にはスティーブ・ジョブズ氏がFlashについて語った手紙「Thoughts on Flash」を公開しており、「Macがクラッシュする理由の1位はFlash」とFlashのセキュリティホールの多さを指摘しました。Thoughts on FlashにはFlashが「2009年のワースト・セキュリティ賞を受賞する製品の1つ」と記されているそうです。

セキュリティ・ブロガーのグラハム・クルーレイ氏もステイモス氏に同意しており、「『いつかFlashのセキュリティが万全になる』という考えにしがみつくのではなく、問題解決のために最後の調整を行えば、Adobeはインターネット・コミュニティからより敬意を払われるだろう」とコメント。2015年1月にはYouTubeがFlashではなくHTML5でのムービー再生を初期設定にすると発表しましたが、中小企業の中にはAdobeに依存するところもあるため、ステイモス氏も「今すぐFlashの提供をやめるべき」ではなく「終わりの日を決め」、セキュリティが強化されたHTML5に徐々に移行すべきとの考えのようです。

・つづき
凶悪な脆弱性が発見されたFlash PlayerをFirefoxが標準でブロック開始 - GIGAZINE