Java狙いの攻撃が活発化、米Oracleはどう対処している？：Oracleは脆弱性の発見と修正をもっと的確にすべき

Javaの脆弱性を突く攻撃の発生が止まらない。Javaをメンテナンスする米Oracleは対応に追われるが、ゼロデイ脆弱性の発見が相次ぐなど、セキュリティ確保で越えるべきハードルは多い。

[Robert Westervelt，TechTarget]

　サイバー犯罪者が、自動攻撃ツールキットを駆使したJava狙いの攻撃を活発化させている。Javaの既知の脆弱性を悪用するだけでなく、ゼロデイ脆弱性を突くエクスプロイトも利用している。こうした攻撃の横行は、米OracleがJavaのセキュリティを強化できるまで続くだろうと専門家は指摘する。ただし、Javaのエンジン関連の保護を強化するのは容易ではない。

関連記事

• 狙われるAdobe製品とJavaの脆弱性
• コード操作、リバースエンジニアリングに対するJavaの脆弱性を克服する（ホワイトペーパー）

　Javaの開発元で、2010年に米Oracleに買収された米Sun Microsystems（以下、Sun）の開発者は、Javaに対する攻撃が一般化するはるか前から、Javaアプレットの主実行エンジンであるJava仮想マシン（JVM）を安全に動作させることを目指していた。Sunは、1995年にJavaサンドボックスを作成。Javaアプレットをサンドボックスの保護領域内に隔離して動作させることで、Webブラウザやファイルシステムの重要なプロセスにアクセスさせないようにした。

関連記事

• セキュリティ強化のはずが逆効果？　HTML5「サンドボックス」の盲点

　米Adobe SystemsやWebブラウザベンダーもサンドボックスを作成し、Webブラウザにおけるアプレットの動作をその保護領域内に封じ込めている（参考：FlashやAcrobatの使用禁止はマルウェア感染防止に効くのか？）。これに対してOracleは、任意のディレクトリに書き込める本格的なデスクトップアプリケーションの作成にJavaの利用を推進していると、ドイツ在住のソフトウェア開発者で、Javaの専門家であるミヒャエル・シアール氏は語る。このことは、攻撃の防止メカニズムを追加するプロセスを極めて複雑にしていると、シアール氏は指摘する。

　「Javaのサンドボックスというパーミッションシステムを包含する2つ目のサンドボックスを追加すれば、Javaがより安全になるのは確かだろう」とシアール氏は指摘。「ただし、それは困難であるか、あるいは不可能だ」（同氏）

　Javaのコードベースには、Javaプログラムを実行するクライアントマシンによって信頼されているコードが膨大にあると、シアール氏は言う。Javaプログラムが構成ファイルやレジストリを読み込んだり、データをキャッシュディレクトリに保存したりできるのは、こうした信頼されたコードがあるためだ。サンドボックスが正規のJavaアプレットを終了させないようにするには、こうした“安全な”機能を別のサンドボックスでホワイトリスト化する必要があると、シアール氏は付け加える。

　Javaの脆弱性を悪用する攻撃のほとんどは、「Blackhole」などのツールキットを使って実行されている。ツールキットによって、脆弱性の悪用プロセスが容易になる。専門家は、最新のパッチがインストールされていないシステムが最も危険だと警告する（参考：Windows管理者が見落としがちな5つのリスクとは？）。ただし、最新パッチをインストール済みのシステムであっても標的になる恐れがある。