検索
連載

Flash Playerが廃止、影響は?セキュリティクラスタ まとめのまとめ 2017年7月版

2017年7月のセキュリティクラスタでは、「Adobe Flash Player」が話題になりました。脆弱性によってユーザーが攻撃にさらされることが多く、2020年末に廃止されることが発表されて、ようやくかとほっとするツイート、さらには移行について考えるツイートが多数ありました。7月はあまり大きなセキュリティインシデントが発生せず、無事に米国の「Black Hat USA」「DEF CON 25」に遠征できた方が多かったようです。どちらもとても盛り上がったようでした。

Share
Tweet
LINE
Hatena

DEF CON/Black Hatに日本人が多数参戦

 1年に1度のハッカーのお祭りといえば、「DEF CON」です。例年は8月ですが、2017年のDEF CON 25は少し早めの7月28〜30日に開催されました。DEF CONに先駆けて真面目な方のカンファレンス「Black Hat USA」も7月22〜27日に開催。ちなみにどちらも2018年は8月開催に戻るようです。

 世界最大のハッカーのお祭りといわれるだけあって、セキュリティクラスタからもたくさんのユーザーがDEF CON/Black Hatに参加すべくラスベガスに赴き、講演内容だけでなく、会場の様子やもらったもの、買ったものなどを楽しそうにツイートしていました。うらやましいですね。

 先だって開催されたBlack Hatでは、100を超える講演があり、さまざまな脆弱(ぜいじゃく)性や攻撃方法が報告されました。ここ数年の傾向として、多数の注目を集めていた講演はIoTや車のハッキングのようでした。加えて「Apple Pay」の脆弱性や携帯電話のネットワークを盗聴してアカウントを乗っ取る攻撃も注目を集めていました。

 DEF CONも盛況でした。たくさんの方が参加してスピーチを聞いたり、ワークショップに参加したり、イベントやコンテストに参加したり、パーティに参加したり、バッジを改造したり、人それぞれのやり方で楽しんでいたようです。

 2017年は残念ながらDEF CON CTF(Capture The Flag)に日本から参加できたチームはなかったようです。ちなみに2017年のCTF優勝チームはアメリカの「PPP」でした。4勝目だそうです。

 日本から参加したチームは、運営に関わったり、他にたくさん開かれているコンテストに参加したりしていたようです。例えば「reconctf」というOSINTのコンテストに日本から参加していた「PINJA」チームは、8位に入賞していました。

 今後、北京でDEF CONが開催されるというアナウンスがあったようなのでこちらも楽しみですね。

いよいよ本当にFlash廃止!?

 Webブラウザで動くゲームや動画配信など、今でもさまざまな場所で使用されている「Adobe Flash」。これまでFlashの実行環境には、開いただけでPCが乗っ取られるような脆弱性がたくさん見つかっており、現在、マルウェアが攻撃に使用するプラットフォームの最右翼といっても過言ではありません。

 このため、開いただけではFlashコンテンツが自動的に実行されないようになっているWebブラウザがほとんどになりました。それでもFlashを使用しているWebサイトは多く、頭を悩ませている管理者の方々も多いのではないでしょうか。

 そんなFlash、2017年7月25日に開発元のAdobe Systemsから大きな発表がありました。2020年末にWebブラウザで動くプレーヤーの配布を停止するというのです。

 これまでのFlash縮小の流れから言っても仕方ないという意見が多いものの、Flashの脆弱性を突いた攻撃に対しては、現在もデフォルトで自動実行されるIEの対応次第という意見もありました。

 2020年の東京オリンピックに向けてFlashでコンテンツを作成している業者は困るだろうというツイートや、Flashを使用しているサイトの改修を心配するツイート、「艦これ」「刀剣乱舞」「ニコニコ動画」などのFlashを使ったゲームやサービスの行く末を心配するツイートも多数見られました。

 なお、今回の発表によりFlash全体が終了するのかと勘違いしている方も出てきているようです。終了するのはFlash Playerだけで、勘違いしないようにと指摘するツイートもありました。

「Struts 2」にまたまたリモートからコードを実行可能な脆弱性

 「S2-045」「S2-046」というリモートから簡単にサーバ内のコマンドが実行できる大きな脆弱性が公開されたことで、2017年、セキュリティクラスタで一番注目を浴びているフレームワークといえば「Apache Struts バージョン2」。

 新たなリモートコード実行の脆弱性があるというニュースが、七夕のセキュリティクラスタを駆け巡ります。

 ほどなく「S2-048」という脆弱性が公開されました。S2-045、S2-046と同じようなOGNL(Object-Graph Navigation Language)を使った攻撃方法であり、脆弱なアプリケーションとPoC(概念実証コード)が同時に公開されていました。TLにも試した方が何人も現れて、簡単に実行できていたようでした。

 2017年3月からたくさんの攻撃が続いて被害に遭った組織も多く、大騒ぎとなったS2-045、S2-046。これと同様に、多数の攻撃が行われるのではないかと身構えていたツイートもありました。

 しかしながら、脆弱性が存在するのはStruts 2.3.xを使っており、かつStruts 1 pluginというStruts 1のActionやActionFormを使えるようにするプラグインを使っているサーバだけでした。被害に遭いそうなサーバは限られているいうことが明らかになり、騒ぎは沈静化しました。

 同時期に「S2-047」「S2-049」という脆弱性も報告されましたが、これらはいずれも危険度が低いDoSの脆弱性だということでほっと胸をなで下ろした管理者の方も多かったと思われます。

 いずれの脆弱性も実際にも攻撃されて被害に遭ったという報告はなく、一安心と言ったところでしょうか。



 この他にも、7月のセキュリティクラスタは次のような話題で盛り上がっていました。8月はどのようなことが起きるのでしょうね。

  • ウイルス6000個作った中学三年生が書類送検
  • 「NotPetya」復号できる?
  • ダークウェブのマーケット「AlphaBay」と「Hansa」が閉鎖
  • セキュリティ・キャンプの資料ってどうして公開されないの?
  • 「マルウェアは消毒だ〜」の世紀末ファイアウォール
  • 電子顕微鏡が身代金ウイルスに感染していたそう
  • 標的型攻撃メール訓練って意味がない?
  • PINがパスワードより安全? はひどい記事なのか
  • ソフトバンク・テクノロジーが不正アクセスを受けてビットコインのマイニングをさせられた!?

著者プロフィール

山本洋介山(NTTコミュニケーションズ株式会社)

Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る