TAM サービス

[TAM Blog] Adobe Flash サポート終了に伴う VMware 製品への影響と対策のポイント

みなさん、こんにちわ。VMware TAM の大谷です。

VMware TAM (Technical Account Manager) サービスでは、VMware 製品を利用いただいている多くのお客様の運用支援させていただいています。

さて、今回は 2020 年 12 月 31 日を予定されている Adobe Flash のサポート終了およびその後の機能停止に伴う VMware 製品への影響と対策についてご紹介したいと思います。この問題に関しては VMware よりナレッジベース(KB)が発行されていますので、この KB のサマリをお伝えする形でご案内します。

参考:「VMware Flash End of Life and Supportability (78589)」
https://kb.vmware.com/s/article/78589

 

何が起きる?(何が起きた?)

 

すでにご存知の方も多いかもしれませんが、Adobe Flash Player (以下 Flash)は2020年12月31日をもってサポートが終了になります。それに伴い、主要なウェブブラウザの開発ベンダーはこの日付の前後に Flash アプリケーションの実行を無効化および停止するための取り組みを予定しています。

VMware では多くの製品で Flashに依存した、ウェブブラウザで稼働する GUI を提供しているため、ブラウザでのFlashの無効化および停止により製品の管理画面にアクセスできないという問題が発生します。また VMware では Flashの移行先として HTML5 を採用した新たな GUI を製品ごとに新しいバージョンで提供しています。

 

影響範囲と対策は?

 

ここでは Flashを使用している主な VMware 製品と、それぞれの推奨される対策をご紹介します。

製品 Flashが利用されている管理GUI 推奨される対策
vCenter Server
および vSAN		 vCenter Server は VMware のサーバ仮想化製品をお使いであれば間違いなくその管理に使用されているかと思います。vCenter Server と vSAN はその管理 GUI である vSphere Web Client で Flashを利用しています。 vSphere Web Client から、新たな GUI である vSphere Client(HTML5版)にすべての機能の移行を完了させたバージョン 6.7 Update 3、またはバージョン 7.0 (こちらのバージョンは vSphere Web Client が削除されています)以降 へアップグレードすることを推奨します。

ただし、vSphere Web Client のなかでプラグインとして稼働していたサードパーティ製品が存在している場合は、HTML5版の vSphere Client に対応しているか各プラグインのベンダー様にご確認ください。
Horizon 仮想デスクトップ環境の管理に利用されている Horizon Administrator で Flash が使用されています。 HTML5 に対応した Horizon Console はバージョン 7.8 から一部の機能が利用可能ですが、Horizon 7 を利用されているお客様にはバージョン7.13へのアップグレードを推奨します。

これはバージョン7.13は 2022/10 まで General Support が延長されているためです。バージョン7.13のサポートについてはこちらのナレッジベースをご覧ください。
Cloud Director こちらはクラウドプロバイダー様がクラウドサービスを構築・提供するための製品です。

管理画面のほかにクラウドサービスを利用するユーザが操作するマルチテナント用のポータル画面で Flash が利用されています。

 バージョン 10.1 以降へのアップグレードを推奨します。

またバージョン 10.1 からは Flash ベースの GUI が削除されていますのでご注意ください。
NSX Data Center for vSphere こちらは vCenter Server の管理 GUI である vSphere Web Client のなかで管理する製品ですが、vCenter Server とは別にこの製品のアップグレードが必要です。 vSphere Client へとほとんどの機能の移行が完了したバージョン 6.4.6 以降へのアップグレードを推奨しています。

しかしながら一部の機能については HTML5 への移行を予定していないものもあります。詳細と対策についてはこちらのページをご確認ください。

2020年12月16日追記:
エージェントレスアンチウイルスなどのためのゲストイントロスペクション機能をご利用の場合には、バージョン 6.4.9 へのアップグレードを推奨します。
vRealize Operations IT 運用管理の自動化ソリューションである vRealize Operations は導入されているお客様も多いかと思います。 HTML5 に対応したバージョン 6.6 以降へのアップグレードすることで Flash の利用を回避することができます。

 

これ以外の製品についてはナレッジベースをご確認ください。

 

この問題を回避できないのか?

 

VMware では上記の通り HTML5 に対応した新たな GUI が利用可能なバージョンへアップグレードしていただくことを推奨していますが、お客様のライフサイクル管理をご支援する VMware TAM という立場としても、お客様の様々な状況によって容易にアップグレードができないケースもあることを認識しています。

 

そこで、ここからはアップグレードによる対策ではなく、Flash の使用を継続することでこの問題を回避する方法をご紹介します。

 

ちなみに、VMwareはそのバージョンがサポート期間内であれば Flash ベースのユーザーインターフェイスを引き続きサポートすることをナレッジベースで以下の通り明記しています。(Flash自体のサポートではありませんので、Flash側の問題の場合には限定的なサポートになると考えられます。)

 

VMware will continue to support Flash-based user interfaces for VMware product versions that are within the support period.
VMware KB: VMware Flash End of Life and Supportability (78589) より

 

どうやって回避する?

 

回避には Flashの設定ファイルを編集して Flash を有効化するサイトをホワイトリストとして登録する方法をとります。

注意:

  • この方法はセキュリティに関する懸念があるため基本的には推奨していないアプローチであることをご認識ください。
  • VMware は回避のためのこの手順自体のサポートを提供しません。お客様の責任においてご利用ください。
  • 2020年12月23日追記:この回避方法は以下の構成で確認されています。
    • Adobe Flash Player 32.0.0.445
    • Firefox 81.0.2
    • IE 11.0.9600.19846
    • Microsoft Edge Version 86.0.622.51
    • Google Chrome Version 86.0.4240.111

前提:

  • ウェブブラウザの自動更新を停止してください。将来のリリースによって Flash への対応自体が削除される可能性が考えられるためです。
  • OS のパッチ適用を停止してください。同じく今後 Flash への対応自体が削除される可能性があるためです。
  • 2020年12月23日追記:Flash Player の自動更新を停止してください。同じく将来のリリースによってここに記載した回避方法が無効化される可能性があります。

※これらの前提は将来における不確定な状況を踏まえています。今後別のオプションを選択できるかもしれません。

 

設定手順

1. 端末の Flashの設定ファイル「mms.cfg」にアクセスする

 

OS とブラウザごとの設定ファイルの場所は以下のとおりです。

Windows 版 Google Chrome
%localappdata%\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\System\mms.cfg

Windows 版 Edge Chromium
%localappdata%\Microsoft\Edge\User Data\Default\Pepper Data\Shockwave Flash\System\mms.cfg

Windows 版の上記以外のブラウザ(32ビットOSの場合)
%windir%\System32\Macromed\Flash\mms.cfg ※編集には管理者権限が必要

Windows 版の上記以外のブラウザ(64ビットOSの場合)
%windir%\SysWOW64\Macromed\Flash\mms.cfg ※編集には管理者権限が必要

Mac OS 版 Chrome
/Users/<username>/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/System/mms.cfg

Mac OS 版の上記以外のブラウザ
/Library/Application Support/Macromedia/mms.cfg

※ System ディレクトリや mms.cfg ファイルが存在しない場合は作成してください。mms.cfg ファイルはテキスト形式です。

 

2.「mms.cfg」ファイルを以下の通り編集します。

 

EOLUninstallDisable=1
EnabledAllowList=1
AllowListPreview=1
AllowListUrlPattern=https://アクセス先のFQDNまたはIP-1/
AllowListUrlPattern=https://アクセス先のFQDNまたはIP-2/

 

※対象サーバが複数ある場合は、対象サーバ分のAllowListUrlPatternエントリを追加してください
※2021年1月21日追記:vCenter の vSphere Web Client で仮想マシンのウェブコンソールを開くには以下の設定を追加してください。

AllowListUrlPattern=https://アクセス先のFQDNまたはIP:9443/

 

3. ブラウザを再起動してテストする

 

製品の管理 GUI にアクセスして Flash ベースの GUI が表示されることを確認します。
念のための OS の時間を1年後などにずらしても問題なく表示されるかも確認してみてください。

 

 

検討すべきこと

 

ここでは VMware TAM として、この問題への対応にあたって検討すべきことをご紹介してみようと思います。

 

まずは影響範囲を確認しましょう。

 

この Flashの機能停止によって影響を受ける製品を確認する

対象となる VMware 製品は上でご紹介しましたが、それ以外のベンダー製品でも Flashを使用しているものがあるかもしれません。

その管理 GUI を利用する対象者を確認する

影響を最小限に抑えるための対応です。その管理 GUI を利用するのが管理者だけなのか、それとも利用者にも提供しているかによって影響度が変わります。また運用を代行している SIer 様もいるかもしれません。もし不特定多数のユーザに提供しているポータル画面の場合は問題を深刻に捉える必要があります。上に書いたとおり回避方法は存在しますが、サービスの提供者としてセキュリティ的に懸念がある方法を提供することにはリスクがあると考えられます。

 

次に、対策を検討しましょう。

 

影響範囲が明確になったら対策を検討します。

 

対策を実施する端末やアクセス範囲を限定する

一般的にお客様の端末は何らかの方法で自動的な OS のパッチ管理の対象になっているかと思いますが、その対象外となる特別な運用端末を用意できるか確認します。もしOS のパッチ適用を抑制することが難しいケースでは Windows Server OS であれば対象外になっていたり、仮想マシンで作成するといったことを検討されているお客様もいらっしゃいます。

対策を実施する範囲を限定することも重要です。もともと Flashにはセキュリティ的な懸念が多く、今回はその製品のセキュリティアップデートの提供を含むサポートが終了します。ここでご紹介した回避方法を広く適用することは控えてください。また回避方法であるホワイトリストの登録方法には様々なオプションがありますが、ホワイトリストの名の通りアクセス先を限定することで意図しない Flashの動作を止めることができます。

別のブラウザを利用する

お客様と会話していると OS のパッチ適用を抑制することはできないが、ブラウザの自動更新を停止することはできるケースが多いようです。Windows OS の場合は Windows Update によって Internet Explorer や Edge で Flash が停止してしまうケースがあるため、こうした場合は別のブラウザを利用することを検討します。

対象者を限定する

上に書いた推奨されるアップグレード先のバージョンは、(ほぼ)すべての機能が HTML5 に移行されたバージョンです。つまり、それ以前のバージョンでも HTML5 に対応した一部の機能が実装されている場合があります。

そこで、管理 GUI を利用する対象者が一部の機能しか利用せずに、もし現在のご利用バージョンでそれが HTML5 で提供できるのであれば、その対象者に対して上に書いたような回避方法を提供する必要はなくなります。そして、すべての機能を利用する管理者だけに影響を限定させることができます。(私のお客様では、利用者に対して GUI の一部の機能のみを提供していたサービスにおいて、HTML5 版の GUI を提供できるか詳細に検討した結果、上に書いたバージョンよりも古いバージョンで早期に HTML5 への移行を達成し、セキュリティ向上を実現したケースがあります。)

その他

基本的な対策も忘れないようにしてください。

  • 対策が会社のセキュリティポリシーに違反することがないようにIT部門に確認をとる
  • 対策を実施した端末からFlashが動作する管理GUIの必要なポート番号にのみアクセスできるよう制限し、インターネットを含むそれ以外へは禁止するようにアクセス制御を実施する。その端末へのアクセスも必要最小限とする。
  • 対策を実施した端末に必ずウイルス対策ソフトを導入する…など

 

まとめ

Flash のサポート終了およびその後の機能停止に伴い、Flash に依存したVMware 製品の管理GUIへのアクセスに問題が発生します。 VMware は Flashの移行先として HTML5 を採用した新たな GUI を製品ごとに提供しているため、基本的には新しいバージョンへアップグレードしていただくことを推奨します。しかしながらそれが困難な場合もあるためこのブログではこの問題を回避する方法とともに、検討すべき対策のポイントについてもご紹介しました。

 

VMware TAM サービスでは今回ご紹介したような課題に関する情報を早期にお伝えし(私のお客様では1年以上前からこの問題を基盤のライフサイクル管理における課題として捉え、アップグレードなどによる対策を進めてきました。)、最新アップデートをお届けしながら、同時に対策についてもお客様と一緒に検討を進めていくことでお客様の運用を支援するサービスです。VMware TAM サービスにご興味がありましたら是非とも弊社までお問い合わせいただけたらと思います。

 

関連記事