米国 Oracle は、Java セキュリティの向上に本気だ。同社は、セキュリティ向上のため、人材にも技術にも投資を続けている。これが、4月の「Critical Patch Updates(CPU)」で同社が発信しているメッセージだ。Oracle は同アップデートで、41件もの Java の脆弱性を修正した。

Oracle、Java に対する41件のセキュリティアップデートを公開 ― Java コードに対する証明書を必須に
41件の脆弱性のうち、18件は業界標準の脆弱性評価システム「CVSS」のスコアで最も緊急性の高い10.0が付けられたもの。これらの脆弱性に対しては、緊急にパッチを適用する必要がある。4月の CPU ではまた、3月に実施されたハッキングコンテスト「Pwn2Own」で報告された4件の脆弱性にも対応した。同イベントを主催した HP は、これらの脆弱性を発見したセキュリティリサーチャーに対して、それぞれ2万ドルを支払っている。

Oracle 執行副社長である Hasan Rizvi 氏は InternetNews.com に対し、Pwn2Own で報告された脆弱性のうち、一件については、Oracle はすでに把握していたと述べた。

「脆弱性のうち1件はすでに Oracle 内部で発見済みで、4月の CPU で修正される予定となっていた」

Java アプレットに対する「証明書」を必須に


最新の Java アップデートでは、コードの実行時には、コード証明書が必須となる。それがサンドボックスアプリの場合であってもだ。Rizvi 氏は次のように説明した。

「Java SE に関して、最近発見された脆弱性や、今回の CPU で修正された脆弱性の多くは、サンドボックスを回避する手口を使ったものだった。これらの脆弱性は、サンドボックス内で動作する Java アプレットが、利用者に対してなんの警告も無く動作するという、従来からの慣習を悪用している」

Rizvi 氏は、証明書を要求することで、Java ユーザーのセキュリティをいくつかの点で向上できると説明した。その1つに、Oracle がブラックリストを作成しやすくなることがあげられる。

「悪意のあるアタッカーであっても、コード証明書を得る必要がある。証明書の発行時には、認証局は申請者の身元確認を、ある程度実施する」

これにより、Oracle は証明書の出所を突きとめ、証明書とアプリをブラックリストに含めることが可能となる。

Rizvi 氏は、証明書は X.509 標準に準拠したものだと説明した。証明書は、すべての認証局(CA)で発行可能だ。証明書が有効かどうかは、Web ブラウザに実装された Online Certificate Status Protocol(OCSP)で確認される。OCSP は、2013年6月の Java アップデートで、デフォルトとなる予定だ。

OCSP だけでなく、Oracle は独自のブラックリストを作成し、アプリケーションと証明書を保守する。

「これにより、Java 利用者が CRL/OCSP を無効にしている場合でも、Oracle が悪意のある Java アプレットの実行を制限できる」

Java セキュリティ向上に向けた Oracle の投資


今年1月、Oracle の開発者は、Java には多くの問題があり、修正しなければならないことを認めた。それ以降、Oracle は人材、技術の両面で、Java のセキュリティ向上に向けた投資を続けている。Rizvi 氏は、Oracle はセキュリティを含む Java 開発のあらゆる分野に渡って人材を新規に雇用してきたし、今後も雇用を継続していくと述べた。

「Oracle においては、すべての開発者が"セキュリティの保安官"だ。セキュリティにフォーカスした開発者、アーキテクト、マネージャーによるセキュリティに対する専門知識が、セキュリティポリシーの強化、高いセキュリティの要求されるコンポーネントの取り扱いに向けて、集結されている」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。