2012年09月21日 08時00分 公開
特集/連載

Java狙いの攻撃が活発化、米Oracleはどう対処している?Oracleは脆弱性の発見と修正をもっと的確にすべき

Javaの脆弱性を突く攻撃の発生が止まらない。Javaをメンテナンスする米Oracleは対応に追われるが、ゼロデイ脆弱性の発見が相次ぐなど、セキュリティ確保で越えるべきハードルは多い。

[Robert Westervelt,TechTarget]

 サイバー犯罪者が、自動攻撃ツールキットを駆使したJava狙いの攻撃を活発化させている。Javaの既知の脆弱性を悪用するだけでなく、ゼロデイ脆弱性を突くエクスプロイトも利用している。こうした攻撃の横行は、米OracleがJavaのセキュリティを強化できるまで続くだろうと専門家は指摘する。ただし、Javaのエンジン関連の保護を強化するのは容易ではない。

 Javaの開発元で、2010年に米Oracleに買収された米Sun Microsystems(以下、Sun)の開発者は、Javaに対する攻撃が一般化するはるか前から、Javaアプレットの主実行エンジンであるJava仮想マシン(JVM)を安全に動作させることを目指していた。Sunは、1995年にJavaサンドボックスを作成。Javaアプレットをサンドボックスの保護領域内に隔離して動作させることで、Webブラウザやファイルシステムの重要なプロセスにアクセスさせないようにした。

 米Adobe SystemsやWebブラウザベンダーもサンドボックスを作成し、Webブラウザにおけるアプレットの動作をその保護領域内に封じ込めている(参考:FlashやAcrobatの使用禁止はマルウェア感染防止に効くのか?)。これに対してOracleは、任意のディレクトリに書き込める本格的なデスクトップアプリケーションの作成にJavaの利用を推進していると、ドイツ在住のソフトウェア開発者で、Javaの専門家であるミヒャエル・シアール氏は語る。このことは、攻撃の防止メカニズムを追加するプロセスを極めて複雑にしていると、シアール氏は指摘する。

 「Javaのサンドボックスというパーミッションシステムを包含する2つ目のサンドボックスを追加すれば、Javaがより安全になるのは確かだろう」とシアール氏は指摘。「ただし、それは困難であるか、あるいは不可能だ」(同氏)

 Javaのコードベースには、Javaプログラムを実行するクライアントマシンによって信頼されているコードが膨大にあると、シアール氏は言う。Javaプログラムが構成ファイルやレジストリを読み込んだり、データをキャッシュディレクトリに保存したりできるのは、こうした信頼されたコードがあるためだ。サンドボックスが正規のJavaアプレットを終了させないようにするには、こうした“安全な”機能を別のサンドボックスでホワイトリスト化する必要があると、シアール氏は付け加える。

 Javaの脆弱性を悪用する攻撃のほとんどは、「Blackhole」などのツールキットを使って実行されている。ツールキットによって、脆弱性の悪用プロセスが容易になる。専門家は、最新のパッチがインストールされていないシステムが最も危険だと警告する(参考:Windows管理者が見落としがちな5つのリスクとは?)。ただし、最新パッチをインストール済みのシステムであっても標的になる恐れがある。

ITmedia マーケティング新着記事

news144.jpg

「BOTANIST」を生んだI-neが上場 強いブランドの秘密とは?
「BOTANIST」運営のI-neが東京証券取引所マザーズに上場。テクノロジーとマーケティング...

news052.jpg

Disney飛躍の立役者ボブ・アイガー氏が語る 「積み上げてきた価値を『崇拝』せず『尊重』せよ」
The Walt Disney Companyを巨大メディア企業に成長させた前CEOのボブ・アイガー氏が、レ...

news048.jpg

組織内のデータの半分以上が「ダークデータ」 回答者の66%――Splunk調査
「ダークデータ」とは活用できていない 、もしくは把握すらできていないデータのこと。