2012年09月21日 08時00分 UPDATE
特集/連載

Oracleは脆弱性の発見と修正をもっと的確にすべきJava狙いの攻撃が活発化、米Oracleはどう対処している?

Javaの脆弱性を突く攻撃の発生が止まらない。Javaをメンテナンスする米Oracleは対応に追われるが、ゼロデイ脆弱性の発見が相次ぐなど、セキュリティ確保で越えるべきハードルは多い。

[Robert Westervelt,TechTarget]

 サイバー犯罪者が、自動攻撃ツールキットを駆使したJava狙いの攻撃を活発化させている。Javaの既知の脆弱性を悪用するだけでなく、ゼロデイ脆弱性を突くエクスプロイトも利用している。こうした攻撃の横行は、米OracleがJavaのセキュリティを強化できるまで続くだろうと専門家は指摘する。ただし、Javaのエンジン関連の保護を強化するのは容易ではない。

 Javaの開発元で、2010年に米Oracleに買収された米Sun Microsystems(以下、Sun)の開発者は、Javaに対する攻撃が一般化するはるか前から、Javaアプレットの主実行エンジンであるJava仮想マシン(JVM)を安全に動作させることを目指していた。Sunは、1995年にJavaサンドボックスを作成。Javaアプレットをサンドボックスの保護領域内に隔離して動作させることで、Webブラウザやファイルシステムの重要なプロセスにアクセスさせないようにした。

 米Adobe SystemsやWebブラウザベンダーもサンドボックスを作成し、Webブラウザにおけるアプレットの動作をその保護領域内に封じ込めている(参考:FlashやAcrobatの使用禁止はマルウェア感染防止に効くのか?)。これに対してOracleは、任意のディレクトリに書き込める本格的なデスクトップアプリケーションの作成にJavaの利用を推進していると、ドイツ在住のソフトウェア開発者で、Javaの専門家であるミヒャエル・シアール氏は語る。このことは、攻撃の防止メカニズムを追加するプロセスを極めて複雑にしていると、シアール氏は指摘する。

 「Javaのサンドボックスというパーミッションシステムを包含する2つ目のサンドボックスを追加すれば、Javaがより安全になるのは確かだろう」とシアール氏は指摘。「ただし、それは困難であるか、あるいは不可能だ」(同氏)

 Javaのコードベースには、Javaプログラムを実行するクライアントマシンによって信頼されているコードが膨大にあると、シアール氏は言う。Javaプログラムが構成ファイルやレジストリを読み込んだり、データをキャッシュディレクトリに保存したりできるのは、こうした信頼されたコードがあるためだ。サンドボックスが正規のJavaアプレットを終了させないようにするには、こうした“安全な”機能を別のサンドボックスでホワイトリスト化する必要があると、シアール氏は付け加える。

 Javaの脆弱性を悪用する攻撃のほとんどは、「Blackhole」などのツールキットを使って実行されている。ツールキットによって、脆弱性の悪用プロセスが容易になる。専門家は、最新のパッチがインストールされていないシステムが最も危険だと警告する(参考:Windows管理者が見落としがちな5つのリスクとは?)。ただし、最新パッチをインストール済みのシステムであっても標的になる恐れがある。

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news015.jpg

Facebookで”刺さる”動画広告の条件とは? 中の人が解説
Facebookの人ベースの広告で良い結果を生むため、広告表現(クリエイティブ)はいかにあ...

news054.jpg

アイレップ、フルファネルマーケティングを強化する分析システム「Per-SONAR Powered by Marketia」を提供
アイレップは、フルファネルマーケティングを強化する分析システム「Per-SONAR Powered b...

news008.jpg

Webサイトのスピード改善はUI/UX改善以上に効果あり――ゴルフルダイジェスト・オンライン担当者が断言
Webサイトの表示速度改善は離脱を減らしコンバージョンを増やすために取り組むべき重要課...