「Adobe Flash Player」に関する「脆弱性対策」!「Click to Play」方式について

【スポンサーリンク】

皆様、こんにちは。

本日の関東は、爽やかな冬晴れの1日となるようです。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

はじめに

さて今回の投稿は、「Adobe Flash Player」の「脆弱性対策」に関する投稿となります。

当ブログでは、前回の投稿において「「VVVウイルス」に関する対策」を主題とした記事を投稿させていただきました。


<正体は「TeslaCrypt」と呼ばれるランサムウェア!「VVVウイルス」に関する対策について>

1、URL

正体は「TeslaCrypt」と呼ばれるランサムウェア!「VVVウイルス」に関する対策について


そして前回の投稿では、「VVVウイルス」のような「ランサムウェア(身代金要求型不正プログラム)」に関する対策として、お使いのパソコン環境における「脆弱性対策」を記載させていただきました。

「VVVウイルス」のような「ランサムウェア(身代金要求型不正プログラム)」の場合、左記の感染経路として「ドライブバイダウンロード攻撃」と呼ばれる手法が用いられるために、脆弱性を悪用されやすいソフトウェアに関するソフトウェアの更新という「脆弱性対策」が必須となります。

そして今回の投稿の主題となる脆弱性を悪用されやすいソフトウェアは、「Adobe Flash Player」です。

前回の投稿でも記載したように「Adobe Flash Player」に関しては、Flashコンテンツを利用するためのソフトウェアとして、代替えとなるソフトウェアがありません。

そのため前回の投稿においては、「Webブラウザの設定から必要時のみ「Adobe Flash Player」に関する機能を有効化するという方法」について記載しましたが、インターネット掲示板の知恵袋にて「Adobe Flash Player」の「脆弱性対策」に関する非常に興味深い提案を提唱されるユーザーの方がおられました。

そして上記のユーザーの方が提唱されていることは、「Adobe Flash Player」の「脆弱性対策」として、Webブラウザの設定において「Click to Play」という方式を採用することです。

そこで今回の投稿では、「Adobe Flash Player」の「脆弱性対策」となる「Click to Play」方式について記載してまいりたいと思います。

それでは本題に入りましょう。

【スポンサーリンク】

「Click to Play」方式

1、【「Click to Play」方式に関する概要】

それでは「Click to Play」方式について記載いたします。

まずは前項で記載したインターネット掲示板の知恵袋における「Adobe Flash Player」の「脆弱性対策」に関する「Click to Play」方式についてのご質問を参照してください。


<★ゼロデイ攻撃も防御できるClick to Play方式!>

1、URL

★ゼロデイ攻撃も防御できるClick to Play方式!

2、引用

★ゼロデイ攻撃も防御できるClick to Play方式!

Click to Play(クリックトゥプレイ)コンテンツを自動的に再生したり機能を自動的に読み込んだりせず、ユーザーがクリックすることで初めて実行する方式のこと。

detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1115336410… ?(荒らしレスはスルーして読む必要なし)

吾輩は上記スレにて、Webからの脅威に対する対策として、”Click to Play方式”を提案しました。 長年当カテにて回答しているお方でも、Click to Playの良さが理解できない人がいて驚きました。決して小手先の方法なんかじゃありません。 かのスレでは「これで少しはマシになるかと」と、謙遜して述べていたのですが、本当は簡単に実行できて効果抜群の対策なのです。

Click to Playは「許可」を与えなければ”ゼロデイ攻撃も防御できます”。これで、どれだけ凄い対策か分かるはずです。

EKによるJavaプラグインの攻撃とその攻撃成功率がなぜ低下したのか? 現在のJavaはデフォルトにてこの機能が備わったのが大きな要因といえます。 Adobeセキュリティ担当曰く、「Click-to-PlayのおかげでJavaに対する大量のゼロデイ攻撃を防げた」と申しています。 その他にも、脆弱性が応じ難い設計によるゼロデイ攻撃の減少、IE、Firefox で古いバージョンのJavaプラグインのブロック。こうした対策の結果、Javaへの攻撃成功率が激減しました。 (JavaのClick-to-Playを回避する脆弱性が利用されたこともあったけど)

最近、vvvウイルスとしてランサムウェアのTeslaCryptの感染事例が情報拡散しましたが、プロの日本IBMが出した対策として、「Click-to-Play有効化」がしっかりと打ち出されております。黒翼猫のコンピュータ日記にも記載されています。

www.fastpic.jp/images.php?file=7421846446.png

【Webからの脆弱性攻撃対策】 使用しているブラウザにて、DBD攻撃で悪用された脆弱性99%の「Adobe Flash Player」プラグインをClick-to-Play方式にするべし。

Internet Explorer

www.eripyon.com/mt/2015/02/ie_flash_player_click_to_play.htm…

Firefox

www.eripyon.com/mt/2015/02/ie_flash_player_click_to_play.html

さて、その使い方ですが、アクセスするサイトで動画を見るというようなハッキリとした目的がないのなら「許可」を与えないこと。これにつきます。一番下に出るアラートの?をクリックして閉じる必要もありません。そのままスルーするだけ。ブラウジング中にアラートが頻繁に出ますが、最初は気になるがすぐ馴れて気にならなくなります。裏でどれだけFlashが可動しているかが分かるでしょう。


上記のご質問で「blackhole_exploit」さんが提唱されている「Click to Play」方式とは、「クリック型再生方式」とも呼ぶべき「Adobe Flash Player」の利用方式です。

「Adobe Flash Player」は、Webブラウザ上で拡張機能(アドオン)という形式で存在しており、Webページへアクセスした際に、自動的なFlashコンテンツの読み込み及び再生を行います。

しかしながら「blackhole_exploit」さんが提唱されている「Click to Play」方式では、上記の「Adobe Flash Player」による自動的なFlashコンテンツの読み込み及び再生に対して、ユーザーのクリックによるFlashコンテンツの読み込み及び再生を許可する方式となるわけです。

以下を参照してください。


<「Click to Play」方式に関する画像>

http://art9.photozou.jp/pub/119/2912119/photo/231487124_org.v1450052205.jpg


このように「Click to Play」方式の場合、WebページでFlashコンテンツの読み込み及び再生を行う際に、ユーザーが「許可」という項目をクリックすることで、Flashコンテンツの読み込み及び再生が可能となります。

そしてこの「Click to Play」方式と前回の投稿で記載した「Webブラウザの設定から必要時のみ「Adobe Flash Player」に関する機能を有効化するという方法」を比較した場合、「Click to Play」方式に関しては、ユーザー側の操作が簡易であるということです。

つまり「Webブラウザの設定から必要時のみ「Adobe Flash Player」に関する機能を有効化するという方法」に関しては、Webブラウザの設定から有効及び無効を切り替えないといけませんが、「Click to Play」方式に関しては、Webページからユーザーのクリックで「Adobe Flash Player」に関する機能を許可することができるというわけです。

以上のように「Click to Play」方式に関しては、一見すると非常に簡単ではありますが、ユーザー側の操作が簡易であるということ、また「Adobe Flash Player」に関する「脆弱性対策」にもなり得るという非常に素晴らしい「Adobe Flash Player」の利用方式であるといえるでしょう。

「Click to Play」方式に関する概要についての記載は以上です。

2、【「Click to Play」方式に関する設定手順 (Internet Explorer及びFirefox)】

それでは次に「Click to Play」方式に関する設定手順について記載いたします。

「Click to Play」方式に関する設定手順に関しては、前項で記載した「blackhole_exploit」さんのご質問内で記載されていますが、各主要Webブラウザにおける「Click to Play」方式に関する設定手順に関して、以下の記事を参照してください。


<「Click to Play」方式に関する設定手順>

1、 Internet Explorer

「Click to Play」方式に関する設定手順

2、Firefox

「Click to Play」方式に関する設定手順


「Click to Play」方式に関する設定手順について記載は以上です。

3、【「Click to Play」方式に関する設定手順 (Google chrome)】

それでは次に「Google chrome」における「Click to Play」方式に関する設定手順について記載いたします。

なお「Google chrome」における「Click to Play」方式に関する設定手順に関しては、英語サイトによる解説のみであることから、今回は当記事で解説いたします。

まずは「Google chrome」を起動してください。

http://art1.photozou.jp/pub/119/2912119/photo/231496387_org.v1450072062.jpg

次に画面右上の三本線マークから、設定という項目をクリックします。

http://art1.photozou.jp/pub/119/2912119/photo/231496392_org.v1450072070.jpg

次に設定画面を下にスクロールしてから、詳細設定を表示という項目をクリックしてください。

http://art9.photozou.jp/pub/119/2912119/photo/231496401_org.v1450072078.jpg

次にプライバシーという項目から、コンテンツの設定という項目をクリックします。

http://art17.photozou.jp/pub/119/2912119/photo/231496408_org.v1450072088.jpg

次にプラグインという項目から、赤線の項目にチェックを入れて、完了という項目をクリックしてください。

以上で「Google chrome」における「Click to Play」方式に関する設定が完了しました。

http://art9.photozou.jp/pub/119/2912119/photo/231496414_org.v1450072095.jpg

このように「Google chrome」において「Click to Play」方式を設定した場合、「Adobe Flash Player」に関する機能を制限することができます。

「Google chrome」における「Click to Play」方式に関する設定手順についての記載は以上です。

「Microsoft Edge」において「Adobe Flash Player」に関する機能を無効化する手順

それでは最後に「Microsoft Edge」において「Adobe Flash Player」に関する機能を無効化する手順について記載いたします。

「Windows 10」から標準Webブラウザとして実装された「Microsoft Edge」に関しては、現在のところ「Click to Play」方式を設定することができません。

なぜなら「Microsoft Edge」に関しては、現在のところ拡張機能(アドオン)を利用することができないからです。

しかしながら「Adobe Flash Player」に関しては、「Google chrome」と同様に、初めからWebブラウザ機能として組み込まれています。

そこで「Microsoft Edge」の設定画面から、「Adobe Flash Player」に関する機能を無効化することができます。

まずは「Microsoft Edge」を起動してください。

http://art1.photozou.jp/pub/119/2912119/photo/231487133_org.v1450052222.jpg

次に画面右上の三本点マークをクリックします。

http://art17.photozou.jp/pub/119/2912119/photo/231487137_org.v1450052229.jpg

次に設定という項目をクリックしてください。

http://art9.photozou.jp/pub/119/2912119/photo/231487140_org.v1450069820.jpg

次に設定画面を下にスクロールしてから、詳細設定を表示という項目をクリックします。

http://art1.photozou.jp/pub/119/2912119/photo/231487146_org.v1450069820.jpg

次に赤枠の項目から、「Adobe Flash Player」に関する機能を無効化してください。

以上で「Microsoft Edge」において「Adobe Flash Player」に関する機能を無効化することができました。

「Microsoft Edge」において「Adobe Flash Player」に関する機能を無効化する手順についての記載は以上です。

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外の「Windows OS」の「Windows Update」を設定する方法に関連する記事に興味がある方は、ぜひ一度以下の「Windows OS」の「Windows Update」を設定する方法に関連する記事のまとめを参照してください。


<「Windows OS」の「Windows Update」を設定する方法に関連する記事のまとめ>

1、URL

「Windows OS」の更新プログラム情報に関連する記事のまとめ


それでは以上です。