2010年4月、2人のセキュリティ専門家が「Javaアプリケーション」内のぜい弱性について公表したが、米オラクルは、公表よりも前にこのぜい弱性の危険性について既に指摘を受けていた。同社は、この問題について査定したものの、緊急にセキュリティ更新を公開するほど深刻な事態ではないとみなした。しかしそれから数日後、このぜい弱性の悪用が実際に確認され、同社は修正パッチの早急な公開を余儀なくされることとなった。

 2010年4月9日、「Javaアプリケーション」内で確認されたぜい弱性について、セキュリティ専門家がそれぞれ詳細情報を公表した。この報告によると、問題のぜい弱性は、ブラウザーにプリインストールされた「Java Deployment Toolkit 」(JDT)に存在するという。

 これについてトレンドマイクロの研究員Rajiv Motwaniは、次のように説明している。Internet Explorer(IE)の場合、JDTのぜい弱性はプラグイン「ActiveXコントロール」を介して利用されるのだが、このActiveXコントールが備えている「Launch()メソッド」には引数の検証処理に問題があり、「Java Network Launch Protocol」(JNLP)のネットワークパスやURL といった、Launch()メソッドが受け取る引数が十分検証されないまま渡されると問題が引き起こされる、と指摘している。一方、他のブラウザーの場合、JDTのぜい弱性は「Netscape Plug-in Application Programming Interface」(NPAPI)というプラグインコンポーネントを介して利用されるという。

 このように、JDTが抱えるこのぜい弱性がActiveXコントロールやNPAPIを通じて悪用されると、Webからの攻撃を仕掛けるサイバー犯罪者は、感染コンピュータ上で任意のコードを実行することが可能になるのだ。

 2008年に当時のサン・マイクロシステムズ(2010年1月27日よりオラクルの完全子会社)が「Java SE6 Update 10」を公開したのだが、このぜい弱性はその公開時から存在していたという。このぜい弱性により、Windows 2000以降のOSに標準インストールされている主要なブラウザーが影響を受けた。UNIX系OS「Linux」も影響を受けることが確認されている。

 今回確認されたJavaのぜい弱性の悪評判が広がる以前に、オラクルは、このぜい弱性がいかに深刻なものであるかの警告を事前に受けていた。その一つが、米グーグルのセキュリティエンジニアTavis Ormandy氏によるものだ。同氏は、メーリングリスト「Full Disclosure」で、「オラクルは今回のぜい弱性が四半期ごとの定例セキュリティ更新の公開を早めるほど深刻な事態ではないと回答した」と述べている。同氏はこのメーリングリストの著者である一方、今回のぜい弱性を確認した研究者の一人でもあるのだが、オラクルに対し、彼らの考えに同意できない旨を伝えたものの、同社は定例外の修正パッチを公開することについて無回答だったという。

 今回、米オラクルがJavaアプリケーション内のぜい弱性について把握した時点で修正パッチを作成し速やかに公開していれば、攻撃を受ける範囲は狭かったかもしれない。しかしながらこの認識の違いによって、オラクルはこのぜい弱性の確認後、修正パッチを公開するまでに数年を要してしまった。ぜい弱性はゼロデイ攻撃に利用され、サイバー犯罪者にとってより攻撃しやすい状況を作り出してしまったのだ。

図1●典型的なぜい弱性の利用とゼロデイ攻撃の比較
[画像のクリックで拡大表示]

実際のぜい弱性悪用例が発覚

 Ormandy氏らによる情報の公表から間もなく、SC Magazineは、このぜい弱性の悪用による感染が実際に確認されたと報告した。この攻撃では、歌詞を提供するWebサイト「songlyrics.com」が標的となった。しかも、この攻撃の裏に潜むサイバー犯罪者は、リアーナ(Rihanna)やレディー・ガガ(Lady Gaga)、マイリー・サイラス(Miley Cyrus)といった米国のポップシンガーの人気に便乗し、彼女たちの歌詞のWebページに不正なコードを埋め込んだのだ。

 不正なコードが埋め込まれたページのいずれかを閲覧したユーザーは、「ドライブバイダウンロード」という手口により、不正プログラムに感染することとなる。この手口を利用すると、ユーザーが単にWebサイトを閲覧しただけで、不正プログラムなどを自動的にダウンロードさせることが可能である。そして、ユーザーが気付かないうちに不正プログラムなどがダウンロードされたり、インストールされ、さらにその不正プログラムが実行される事態を招くのだ。このため、ドライブバイダウンロードの手口は、サイバー犯罪者の常とう手段として用いられている。

 今回のゼロデイ攻撃では、songlyrics.comを閲覧したユーザーは、不正なJavaScript(JS_WEBSTART.Aとして検出)が含まれるWebサイト「ancomcareers.com/vasek」に誘導される。そして最終的には、この不正JavaScriptにより、不正なJavaアプレット(「JAVA_WEBSTART.A」として検出)がダウンロードされることとなる。

図2●「JS_WEBSTART.A」によるJava Web Startのぜい弱性の利用と「JAVA_WEBSTART.A」の実行
[画像のクリックで拡大表示]

どのようなリスクにさらされるか

 今回の攻撃ではJDTに存在するぜい弱性が狙われた。JDTはJavaから単独でインストールされるプログラムであるため、不正なスクリプトに対する通常のセキュリティ対策を適用するだけでは、攻撃からの十分な防御とはならないであろう。そのためActiveXコントロールやブラウザーのJavaScript機能およびプラグインを無効にするだけでは、今回のぜい弱性を悪用した脅威からユーザーを守ることは不可能である。