画面●Flash Playerのダウンロードサイト
画面●Flash Playerのダウンロードサイト
[画像のクリックで拡大表示]

 セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)は2015年1月28日、「Flash Player」に危険な脆弱性が見つかったとして注意を呼びかけた。罠が仕掛けられたWebページにアクセスするだけでPCを乗っ取られる恐れがある。実際、Web経由のゼロデイ攻撃が確認されているという。対策は、最新版へのバージョンアップ。

 今回報告されたのは、メモリー管理に関する脆弱性。細工が施されたFlashコンテンツを読み込むと、Flash Playerが不正終了したり、悪質なプログラム(ウイルス)を実行されたりする危険性がある。その結果、PCを乗っ取られる恐れなどもある。また、悪質なFlashコンテンツが貼られたWebページを開くだけでも被害に遭う。

 米アドビシステムズの情報によれば、今回の脆弱性を悪用したWeb経由の攻撃(ドライブバイダウンロード攻撃)が確認されているという。脆弱性を修正した最新版の公開前に出現しているので、いわゆるゼロデイ攻撃である。この攻撃は、Windows 8.1およびそれ以前のWindowsで稼働するInternet Explorer(IE)とFirefoxをターゲットにしているという。

 脆弱性が存在するのは、Flash Player 16.0.0.287およびそれ以前。標準でFlash Playerを組み込んでいるWebブラウザーのChromeやWindows 8用IE10、Windows 8.1用IE11なども影響を受ける。

 対策は、脆弱性を修正した最新版「16.0.0.296」にバージョンアップすること。最新版は、アドビシステムズのWebサイトなどから入手できる(画面)。

 Chromeについては、Chrome自体をバージョンアップする。Chromeには自動更新機能があるので、自動的にアップグレードされる。IEについては、脆弱性を修正するための更新プログラムを適用する。更新プログラムは「Windows Update」などから適用できる。