山下眞一郎/富士通南九州システムエンジニアリング 第一ソリューション事業部 ネットソリューション部 担当部長

 「Webページを不正に改ざんされる事件が最近特に増加し,その改ざんされたサイトを閲覧した場合,ウイルスを送り込まれることが多いと聞く。利用者側で行うべき対策をアドバイスしてほしい」――。ある企業のシステム管理者から,こうした相談を受け,Webブラウザに対するお勧め設定を紹介しました。

■参考記事:「Firefoxを使い続けるための“お勧め”設定」,NoScriptを組み込んでいないFirefoxは使用停止に

■参考記事:IEを使い続けるための“お勧め”設定,“デフォルト・セキュア”とMicrosoft Update使用環境を共存化

 ただ,ブラウザのセキュリティを考える場合,ブラウザそのものや拡張機能(アドオン)以外にも注意しなければならないことがあります。ブラウザの“プラグイン”です。

 代表的な“プラグイン”の一つが「Adobe Flash Player」です。アドビの資料によると,FlashPlayerは,インターネット接続に標準対応したパソコンの98.8%に搭載されているようです。

 こうしたプラグインは,「Microsoft Update」があるマイクロソフト製品などと違って,セキュリティ・ホールを含むバグ修正のパッチ自動適用の仕組みがなかったり,仕組みはあっても周知が進んでいなかったりします。このためアップデートが漏れがちになるユーザーが多く,プラグインは攻撃者にとって絶好のターゲットとなりつつあります。

 例えばFlash Playerについて言うと,5月28日にJPCERTコーディネーションセンター(JPCERT/CC)から警告レポート「Adobe Flash Player の脆弱性に関する注意喚起」が出されたばかりです。

 悪意のあるFlash コンテンツ(SWFファイル)を含んだWebページやHTMLメールを閲覧すると,それだけでパソコンがマルウエアに乗っ取られる可能性があるという,非常に危険なセキュリティ・ホールです。実際に,セキュリティ・ホールを突いた悪意のあるFlash コンテンツを貼り付けた(もしくは攻撃者によって貼り付けられた)Webサイトは多数存在しています。対策は2008年4月8日にリリースされた最新版のFlash Player 9.0.124.0へのアップデートです。こうしたことから,最近はプラグインの継続的なアップデートの重要性が,特に高まってきています。

■参考記事:「Flash Player最新版に不正コードを実行される脆弱性,Symantecが警告

■参考記事:「「Flash Player」の脆弱性を狙った攻撃が進行中、最新版に更新を」

 最近ちょうど,Flash Playerに関して,ある企業のシステム管理者から「最近Flash Playerのアップデートを促す記事が増えているが,複数のWebブラウザを使っている場合,何か注意点があるらしい。具体的に教えてほしい」,「Internet Explorer(IE)のセキュリティを強化する設定変更を施してある場合,Flash Playerのアップデートに失敗する。どうしたら良いかを教えてほしい」といった相談を受けました。

 実は,Flash Playerのアップデートには多くの落とし穴が潜んでいます。その一つが,Flash PlayerにはIEが使用する『ActiveXコントロール版』と,FirefoxやOperaその他のブラウザが使用する『Netscape Plugin API(NPAPI)版』の2種類があること。アップデートに際しては,両方のFlash Playerを確実に削除する必要があります。以下では,こうした注意点とともに,Flash Playerを安全にアップデートする方法を解説しましょう。