Java はここ数年、アタッカーの主要なターゲットとなっている。複数のセキュリティベンダーが公開したレポートによれば、この傾向は年々激しくなっているようだ。

Java に対する攻撃が2013年に急増したのはなぜか?
Kaspersky Lab が公表した最新のレポートによれば、2012年9月から2013年8月の間に観測された Java 脆弱性を突いた攻撃は1,410万件に達したという。調査期間後半にあたる2013年3月から8月の集計では、Java 脆弱性を突いた攻撃は854万件にも上っており、Java に対する攻撃が増加傾向にあることが見てとれる。

2013年に Java の脆弱性を突いた攻撃が急増したのには、いくつかの理由がある。Kaspersky Lab の上級ウィルスアナリストである Vyacheslav Zakorzhevsky 氏は、その第一の理由として、Java に対する緊急レベルの脆弱性が毎月のように発見されたことをあげている。

「Adobe Reader や Adobe Flash Player の脆弱性は Java ほどは多く発見されることはなく、また、様々な理由により、これらの脆弱性を突くのは Java ほどは容易ではなかった」

HP セキュリティリサーチで Zero-Day イニシアチブのマネージャーを務める Brian Gorenc 氏は eWeek に対し、2013年に Java 攻撃が増加した理由の1つとして、「エクスプロイトキット」の存在があげられると述べた。

「エクスプロイトキット」とは、複数のエクスプロイトコードをパッケージ化し、アタッカーによる脆弱性攻撃を容易にしたプログラムを指す。

「Java のサンドボックス実装に関する弱点が発見された結果として、エクスプロイトキットの作者は Java に惹きつけられてしまったようだ」

新たな脆弱性

Kaspersky によるレポートは、2012年9月から2013年8月にかけ、Java に160を超える新たな脆弱性が発見されたことを強調している。先月中旬にリリースされた最新の Java セキュリティパッチでも、51の新たな Java 脆弱性に対応していた。

Java に新たな脆弱性が発見され続ける一方で、エクスプロイトキットの作者は、パッチ未適用システムの既存の脆弱性を突くのを好む傾向にあるという。Gorenc 氏は、2012年に発見された脆弱性はいまだに攻撃対象となっており、今日でもその攻撃が成功することが多いと述べた。

「現時点で、エクスプロイトキットによってもっとも攻撃される脆弱性は、Java のサンドボックス機能の弱点を突くタイプのものだ。攻撃者は Java のこの弱点を好んで攻撃している。この手法であれば、OS レベルの保護を回避する必要がないためだ」

利用者はどう対処すればよいのか?

Java が攻撃対象となっている状況に対処するためには、Zakorzhevsky 氏は、Oracle がサイレントアップデートを採用すべきであると主張する。

Java を無効に設定
利用者に対しては、Zakorzhevsky 氏は Java プラグインを無効に設定することを推奨している。

「Java を無効にすることで Web アプリケーションが動作しなくなった場合は、必要に応じて Java を有効にすればよい。使用後は、Java を再び無効にするべきだ」

OS を変えても防御にはならない。Zakorzhevsky 氏は、Java 攻撃のほとんどは Windows マシン上で発生しているが、Java はクロスプラットフォーム技術であり、Mac ユーザーであっても攻撃からは逃れられないと述べた。

「主に Mac OS X に感染していた Flashfake Mac OS ボットネットは、感染した Web サイト経由で Java アプレットとして広まるものだ。その Flashfake は、Windows 向けの Java が持つものと同じ脆弱性を悪用したものだった」

「疑わしい Web サイトを訪問しない」 これは、マルウェア感染を防ぐ最良の方法だと言われてきた。だが、Zakorzhevsky 氏は、このアドバイスは、Java には必ずしも当てはまらないと述べた。

「現在では、大手メディア、銀行、ソフトウェア開発 など、様々な Web サイトに感染が広まっている。これは、どんなユーザーであっても、攻撃を受ける可能性があるということだ。唯一の効果的な方法は、Java の使用を最小限に抑え、アタッカーの罠を避けることだ」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。