狙われ続けているFlash Playerの脆弱性

Flash Playerの脆弱性が今年に入り相次いで報告されています。
Hacking Team社から漏えいしたゼロデイ脆弱性（2015年7月）、Pawn Storm（APT28,Fancy Bear）で悪用された脆弱性（2015年10月）はまだ記憶に新しいところです。

図1は、過去3年間におけるFlash Playerのゼロデイ脆弱性の件数（*1）を表したグラフになります。2015年は、1月～10月の間の件数になりますが、既に前年比3倍と大幅に増加していることが確認できます。

また、図2は過去5年間におけるFlash Playerで修正された脆弱性の件数を表したグラフになります。
2015年は、10月までで215件が修正されており、2014年の1年間で76件、2013年は56件であることを考えると、今年は非常に多くの脆弱性が公表されているかが確認できます。恐らく、2015年は脆弱性の修正数が過去最高の件数になるかと思います。

図3は、エクスプロイトキットで悪用されるFlash Playerの脆弱性（*2）の件数を表したグラフになります。こちらも今年は大幅に増加していることが確認できます。

2013年頃までは、エクスプロイトキットで悪用される脆弱性と言えばJavaの脆弱性でしたが、最近はInternet ExplorerやFlash Playerの脆弱性が狙われています。正規のWebサイト上に表示される不正広告を経由して攻撃を行う手口もしばしば確認されており、今後もFlash Playerが攻撃者の攻撃対象になる傾向は続くと考えます。

Flash Playerをご利用中の方は、バージョンテストのサイト（*3）などを活用し、最新バージョンを利用中かどうかについてご確認いただくことを推奨します。なお、最新バージョンではない場合は、当該サイトを参考に最新バージョンへアップデートを行うことを推奨します。
また、Flash Playerの自動更新の設定（*4）やClick-to-Playで必要に応じてFlashを実行する設定（*5）など、Flash Playerを安全に使う設定を行うこともご検討ください。

• （*1） CVE (Common Vulnerabilities and Exposure) の件数を元にしています。
• （*2） 以下サイトを参考にしており実際のエクスプロイトキットでの実装とは異なる可能性があります。
  Malware don't need Coffee: https://malware.dontneedcoffee.com/
  contagio: https://contagiodump.blogspot.com/
  Malware-Traffic-Analysis.net: http://www.malware-traffic-analysis.net/index.html
• （*3） Adobe Flash Playerバージョン: https://get.adobe.com/jp/flashplayer/about/
• （*4） Flash Player 自動更新の設定: https://helpx.adobe.com/jp/flash-player/kb/228473.html
• （*5） How to Enable Click-to-Play Plugins in Every Web Browser https://www.howtogeek.com/188059/how-to-enable-click-to-play-plugins-in-every-web-browser/