Infostand海外ITトピックス
遅すぎた死? AdobeがFlashを2020年に終了へ
2017年7月31日 09:49
不十分だったセキュリティ対策
約20年のFlashの歴史の幕引きを告げるAdobeのブログ記事は、世代交代を前面に押し出したものだ。「ここ数年でHTML5、WebGL、WebAssemblyなどのオープンな標準が成熟し、(Flashなどの)プラグインが先駆者として提供した機能を提供できるようになった。これらはWeb上のコンテンツにとって意味ある代替技術となっている」とAdobeは記している。
Flashの現在のポジショニングに大きな影響を与えたのは、2010年のSteve Jobs氏の批判だ。iPhoneをはじめとするiOS端末でFlashをサポートしない理由についてJobs氏が公式に回答したもので、サポートしない理由として、▽オープン性(Flashはプロプライエタリ)、▽H.264などの代替フォーマットの存在、▽バッテリー消耗、▽信頼性/セキュリティ/性能――の4つを挙げている。
中でもセキュリティについての批判は激しく、「Macがクラッシュする一番の理由がFlashだ」と述べている。Jobs氏のFlashに対する辛辣な批判は、現在も「Thoughts on Flash」としてAppleのWebサイトに掲載されている。
Jobs氏の宣言で、Flashのセキュリティは公然の問題となった。だが、その後のAdobeのセキュリティへの取り組みも十分だったとはいえない。Dark ReadingはFlashの安全性が改善していないことを示す調査をいくつか挙げている。例えば、Mitreの調査によると、2016年単年でFlash Playerで公になった脆弱性は266件にのぼる。遠隔から操作可能な欠陥、DDoS攻撃につながる欠陥など、多くが深刻なものだった。
Flashは2015年、ゼロデイ攻撃につながる脆弱性の17%を占め、最も悪用されたゼロディ脆弱性の5件のうち4件までがFlashだったという。
これらの不名誉な数字を紹介しながら、Dark Readingは「2016年、任意のアプリケーションで最も脆弱性が多かったのがFlashだ。Adobeのサポート終了は良い知らせだ」というSANS Instituteの新しいセキュリティ脅威担当ディレクター、John Pescatore氏のコメントを紹介している。
また、セキュリティ企業QualysのCISO(最高情報セキュリティ責任者)、Mark Butler氏は、Flashの普及を評価しながらも、「Adobeは、必要とされているセキュリティのアップデートに歩調を合わせることができなかった」とコメントしている。