攻撃ツール「Blackhole」の管理画面例(フィンランド エフセキュアの情報から引用)。この例では、Javaの脆弱性を悪用する「Java Rhino」が全体の83.36%、攻撃数では1万6144件を占めた
攻撃ツール「Blackhole」の管理画面例(フィンランド エフセキュアの情報から引用)。この例では、Javaの脆弱性を悪用する「Java Rhino」が全体の83.36%、攻撃数では1万6144件を占めた
[画像のクリックで拡大表示]

 フィンランドのセキュリティ企業エフセキュアは2011年12月22日、Javaの脆弱性を悪用する攻撃が確認されているとして注意を呼びかけた。Javaを利用していないユーザーには、アンインストール(削除)することを勧めている。

 ここでのJavaとは、JavaアプリケーションやJavaアプレットの実行環境のこと。Java VMやJava仮想マシン、JRE(Java Runtime Environment)などとも呼ばれる。脆弱性のあるJavaプラグインをWebブラウザーにインストールしている場合には、細工が施されたWebページにアクセスするだけで、ウイルス(悪質なプログラム)に感染する危険性などがある。

 実際、ここ数年、Javaの脆弱性を悪用した攻撃が相次いでいる。例えば2010年10月、米マイクロソフトは、Javaを狙った攻撃を、2010年第3四半期(7月~9月)に600万件以上確認したとして注意を呼びかけている。2011年6月には、セキュリティ企業の米ウェブセンスが、Webサイト経由での攻撃が多発しているとして注意喚起した。

 エフセキュアでも、Javaの脆弱性を突く攻撃を確認した。現在では、攻撃ツールの多くに、Javaの脆弱性を突く仕掛けが組み込まれている。ある攻撃者が使用しているツールの管理画面を同社が調べたところ、攻撃の8割以上はJavaの脆弱性を悪用していた(図)。

 このような現状を受けて同社では、常に最新版のJavaを利用できないのなら、Javaを削除することを推奨している。特定のWebサイト(Webアプリケーション)のためにJavaが必要なら、いつも利用しているWebブラウザーからはJavaプラグインを削除し、そのWebサイトのためだけに別のWebブラウザーを使うよう勧めている。