米マイクロソフトは2010年10月18日、Javaの実行環境「JRE(Java Runtime Environment)」の脆弱(ぜいじゃく)性を悪用する攻撃(ウイルス)が相次いでいるとして注意を呼びかけた。2010年第3四半期(7月~9月)には600万件以上の攻撃を確認したという。
JREとは、Javaアプリケーションを実行するためのソフトウエア。JREがインストールされていれば、Webブラウザー上でJavaアプリケーションを実行できる。基本的にはバックグラウンドで動作するソフトなので、ユーザーが意識することは少ない。知らずにインストールしていることも多い。このため、脆弱性を修正した新版が公開されても、アップデートしないユーザーは少なくない。
マイクロソフトによれば、攻撃者が悪用する脆弱性は、識別番号CVE-2008-5353、CVE-2009-3867、CVE-2010-0094の3件。いずれもJREの最新版では修正されているが、古いバージョンのユーザーが多いために被害が後を絶たない。脆弱性を悪用されると、細工が施されたWebサイトにアクセスするだけで、ウイルスに感染するなどの被害に遭う。
同社では、2010年第2四半期に攻撃の急増を確認。Adobe ReaderといったPDFアプリケーションの脆弱性を悪用する攻撃を大きく上回っているという(図1)。にもかかわらず、PDFの脆弱性悪用攻撃と比較すると、Javaを狙った攻撃は注意喚起されることが少ないので要注意だとしている。
対策は、JREを最新版にアップデートすること。アップデートすれば、脆弱性を悪用した攻撃を防げる。
パソコンにインストールされているJava関連ソフト(JREを含む)のバージョンは、提供元である米オラクルのWebサイトで確認できる。同社の「Javaダウンロード」にアクセスして、「Javaの有無のチェック」ボタンを押せば(図2)、Java関連ソフトのインストールの有無とバージョンが表示される。
現時点でのJREの最新バージョンは「1.6.0_22」。同バージョンは、Javaソフトウエアの「Version 6 Update 22(Java SE 6 Update 22)」に含まれるので、同ソフトをインストールすれば、JREは最新版にアップデートされる(図3)。