2012年09月21日 08時00分 UPDATE
特集/連載

Oracleは脆弱性の発見と修正をもっと的確にすべきJava狙いの攻撃が活発化、米Oracleはどう対処している?

Javaの脆弱性を突く攻撃の発生が止まらない。Javaをメンテナンスする米Oracleは対応に追われるが、ゼロデイ脆弱性の発見が相次ぐなど、セキュリティ確保で越えるべきハードルは多い。

[Robert Westervelt,TechTarget]

 サイバー犯罪者が、自動攻撃ツールキットを駆使したJava狙いの攻撃を活発化させている。Javaの既知の脆弱性を悪用するだけでなく、ゼロデイ脆弱性を突くエクスプロイトも利用している。こうした攻撃の横行は、米OracleがJavaのセキュリティを強化できるまで続くだろうと専門家は指摘する。ただし、Javaのエンジン関連の保護を強化するのは容易ではない。

 Javaの開発元で、2010年に米Oracleに買収された米Sun Microsystems(以下、Sun)の開発者は、Javaに対する攻撃が一般化するはるか前から、Javaアプレットの主実行エンジンであるJava仮想マシン(JVM)を安全に動作させることを目指していた。Sunは、1995年にJavaサンドボックスを作成。Javaアプレットをサンドボックスの保護領域内に隔離して動作させることで、Webブラウザやファイルシステムの重要なプロセスにアクセスさせないようにした。

 米Adobe SystemsやWebブラウザベンダーもサンドボックスを作成し、Webブラウザにおけるアプレットの動作をその保護領域内に封じ込めている(参考:FlashやAcrobatの使用禁止はマルウェア感染防止に効くのか?)。これに対してOracleは、任意のディレクトリに書き込める本格的なデスクトップアプリケーションの作成にJavaの利用を推進していると、ドイツ在住のソフトウェア開発者で、Javaの専門家であるミヒャエル・シアール氏は語る。このことは、攻撃の防止メカニズムを追加するプロセスを極めて複雑にしていると、シアール氏は指摘する。

 「Javaのサンドボックスというパーミッションシステムを包含する2つ目のサンドボックスを追加すれば、Javaがより安全になるのは確かだろう」とシアール氏は指摘。「ただし、それは困難であるか、あるいは不可能だ」(同氏)

 Javaのコードベースには、Javaプログラムを実行するクライアントマシンによって信頼されているコードが膨大にあると、シアール氏は言う。Javaプログラムが構成ファイルやレジストリを読み込んだり、データをキャッシュディレクトリに保存したりできるのは、こうした信頼されたコードがあるためだ。サンドボックスが正規のJavaアプレットを終了させないようにするには、こうした“安全な”機能を別のサンドボックスでホワイトリスト化する必要があると、シアール氏は付け加える。

 Javaの脆弱性を悪用する攻撃のほとんどは、「Blackhole」などのツールキットを使って実行されている。ツールキットによって、脆弱性の悪用プロセスが容易になる。専門家は、最新のパッチがインストールされていないシステムが最も危険だと警告する(参考:Windows管理者が見落としがちな5つのリスクとは?)。ただし、最新パッチをインストール済みのシステムであっても標的になる恐れがある。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news122.jpg

人工知能「Adobe Sensei」はCMSをどう変えるのか?
アドビ システムズが2018年4月に提供開始する「Adobe Experience Manager」最新版の特徴...

news102.jpg

MarketoがSlackと連携、リード関連情報のリアルタイム通知が可能に
Marketoは、Slackとの連携を発表した。顧客エンゲージメントに関するリアルタイム通知を...

news093.png

ブレインパッド、広告運用レポートの自動作成と実績予測シミュレーションが可能な「AdNote」を提供
ブレインパッドは、インターネット広告運用支援ツール「AdNote」の提供を開始した。