Java狙いの攻撃が活発化、米Oracleはどう対処している?Oracleは脆弱性の発見と修正をもっと的確にすべき

Javaの脆弱性を突く攻撃の発生が止まらない。Javaをメンテナンスする米Oracleは対応に追われるが、ゼロデイ脆弱性の発見が相次ぐなど、セキュリティ確保で越えるべきハードルは多い。

2012年09月21日 08時00分 公開
[Robert Westervelt,TechTarget]

 サイバー犯罪者が、自動攻撃ツールキットを駆使したJava狙いの攻撃を活発化させている。Javaの既知の脆弱性を悪用するだけでなく、ゼロデイ脆弱性を突くエクスプロイトも利用している。こうした攻撃の横行は、米OracleがJavaのセキュリティを強化できるまで続くだろうと専門家は指摘する。ただし、Javaのエンジン関連の保護を強化するのは容易ではない。

 Javaの開発元で、2010年に米Oracleに買収された米Sun Microsystems(以下、Sun)の開発者は、Javaに対する攻撃が一般化するはるか前から、Javaアプレットの主実行エンジンであるJava仮想マシン(JVM)を安全に動作させることを目指していた。Sunは、1995年にJavaサンドボックスを作成。Javaアプレットをサンドボックスの保護領域内に隔離して動作させることで、Webブラウザやファイルシステムの重要なプロセスにアクセスさせないようにした。

 米Adobe SystemsやWebブラウザベンダーもサンドボックスを作成し、Webブラウザにおけるアプレットの動作をその保護領域内に封じ込めている(参考:FlashやAcrobatの使用禁止はマルウェア感染防止に効くのか?)。これに対してOracleは、任意のディレクトリに書き込める本格的なデスクトップアプリケーションの作成にJavaの利用を推進していると、ドイツ在住のソフトウェア開発者で、Javaの専門家であるミヒャエル・シアール氏は語る。このことは、攻撃の防止メカニズムを追加するプロセスを極めて複雑にしていると、シアール氏は指摘する。

 「Javaのサンドボックスというパーミッションシステムを包含する2つ目のサンドボックスを追加すれば、Javaがより安全になるのは確かだろう」とシアール氏は指摘。「ただし、それは困難であるか、あるいは不可能だ」(同氏)

 Javaのコードベースには、Javaプログラムを実行するクライアントマシンによって信頼されているコードが膨大にあると、シアール氏は言う。Javaプログラムが構成ファイルやレジストリを読み込んだり、データをキャッシュディレクトリに保存したりできるのは、こうした信頼されたコードがあるためだ。サンドボックスが正規のJavaアプレットを終了させないようにするには、こうした“安全な”機能を別のサンドボックスでホワイトリスト化する必要があると、シアール氏は付け加える。

 Javaの脆弱性を悪用する攻撃のほとんどは、「Blackhole」などのツールキットを使って実行されている。ツールキットによって、脆弱性の悪用プロセスが容易になる。専門家は、最新のパッチがインストールされていないシステムが最も危険だと警告する(参考:Windows管理者が見落としがちな5つのリスクとは?)。ただし、最新パッチをインストール済みのシステムであっても標的になる恐れがある。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news125.jpg

D2C事業の約7割が失敗する理由 成功企業との差はどこに?
クニエがD2C事業の従事者を対象に実施した調査の結果によると、D2C事業が成功した企業は...

news088.png

企業のSNS活用実態 最も使われているのはX? Instagram?
企業はSNSをどのように活用しているのか。調査PRサービスを提供するPRIZMAが、最も使われ...

news055.jpg

日本のモバイルアプリトレンド2025 クロスデバイス戦略とMMMの重要性とは?
急速に進化するモバイルアプリ市場においてAIと機械学習の活用が本格化し、マーケティン...