このところ、パソコンなどで動作する米Oracleの「Java」(ジャバ、画面)に関するセキュリティ脆弱性(欠陥)が相次いで発見されている。そのままにしておくと、パソコンがインターネット経由で「遠隔操作」されてしまう可能性がある。
Javaは、パソコン上やWebブラウザー内でアプリケーションを動作させるためのプラットフォームとして普及している。個人や業務用のパソコンにインストールされていることも多いだろう。Windowsだけではなく、MacやLinuxでもよく使われる。
象徴的な例としては、情報処理推進機構(IPA)などが運営する脆弱性情報提供サイト「JVN」は、パソコンにインストールされているWebブラウザーやFlashなどにセキュリティ脆弱性がないかどうかをチェックするツール「MyJVNバージョンチェッカ」を無償で提供している。だが、このツール自体がJavaで作成されており、Java実行環境が無ければ動作しない。
Javaにセキュリティ脆弱性が頻繁に見つかる背景には、普及率が高いため攻撃者の“標的”になりやすいことがある。パソコン側でインターネットと連携した複雑なアプリケーションを動作させられる仕組みも、脆弱性を突こうとする「攻撃者」にとっては都合が良い。
頻発する「ゼロデイ攻撃」
サイバー攻撃を実行する攻撃者はソフトウエアの脆弱性を調査して攻撃の手掛かりにしようと、日々研究を重ねている。利用者はパソコンなどでインターネットを使っている以上、脆弱性の影響からは逃れられない。
主要ソフトウエアベンダーも常に脆弱性について調査しており、見つかり次第脆弱性を修正して最新版に更新するためのプログラム(パッチ)を提供している。利用者は、常にソフトを最新版に更新してさえいれば、過度に脆弱性を恐れる必要はない。
ところが、最近のJavaで問題になっているのは、Oracleが更新版を提供する前に攻撃が行われてしまう「ゼロデイ攻撃」が頻発していることだ。利用者が自分で更新版を制作するわけにもいかず、Oracleが対応するまで成すすべがない。一部では、Java機能自体をオフにすることを推奨する動きまで出ている。
事態を重く見たOracleも対策を急いでいる。2月1日には、通常のアップデート予定を前倒しして、緊急に更新版をリリースした(関連記事)。利用者が、Javaを使い続ける場合は早急に更新版を適用する必要がある。
それでも、今後も攻撃者の勢いが続き、脆弱性の発見が相次ぐ流れになるかもしれない。Javaセキュリティを巡る状況には引き続き注意が必要だ。ITproでも最新の情報を提供していく。
2013年1月以降のJava脆弱性・攻撃の動向
- OracleがJava更新版を緊急リリース、「攻撃が観測されているため前倒し」
- 大規模サイバースパイ活動「Red October」、Java脆弱性も悪用
- JVNがJavaアップデートの不完全性を指摘、Java無効化を改めて推奨
- 「ブラウザーではJavaを無効に」――Javaの脆弱性に注意喚起相次ぐ
- Javaゼロデイ攻撃は米国を中心に蔓延、シマンテック調べ
- OracleがJavaのアップデートを公開、緊急の脆弱性に対応