セキュリティ会社の米ウェブセンスは2011年6月20日、Javaの実行環境「JRE(Java Runtime Environment)」の脆弱性を悪用する攻撃が相次いでいるとして注意を呼びかけた。細工が施されたWebサイトにアクセスするだけで、「偽ソフト」などを勝手にインストールされる恐れがある。
JREとは、Javaアプリケーションを実行するためのソフトウエア。JREがインストールされていれば、Webブラウザー上でJavaアプリケーションを実行できる。基本的にはバックグラウンドで動作するソフトなので、ユーザーが意識することは少ない。知らずにインストールしていることも多いので、脆弱性を修正した新版が公開されても、アップデートしないユーザーは多いだろう。
このため、JREの脆弱性を突く攻撃が後を絶たない。今回ウェブセンスが報告した攻撃は、JRE Version 6 Update 23およびそれ以前に存在する脆弱性を悪用する攻撃。この脆弱性は、2011年2月に公開されたUpdate 24以降で修正されている。
今回の攻撃では、攻撃者は正規のWebサイトに侵入してWebページを改ざん。悪質なJavaアプリケーション(Javaアプレット)をダウンロードさせるようなコードを仕込む(図1)。そのようなWebページに、古いJREをインストールしたパソコンでアクセスすると、悪質なJavaアプレットが勝手に動き出す。
悪質なJavaアプレットは、いわゆる偽ソフトをインストールおよび実行。偽ソフトは偽のセキュリティ警告を表示して、ユーザーに偽ソフトの有料版を購入させようとする(図2)。
対策は、JREを最新版にすること。JREには自動更新機能があり、新版が公開されるとバルーンなどを表示して、ユーザーに更新を促す。そういった表示が出たら、必ず更新しておこう。米オラクルの「無料Javaのダウンロード」ページからも、最新版のJRE(Java)を入手できる。