※この記事は本社サイト「Naked Security」掲載の記事を翻訳したものです※
by Chester Wisniewski on August 28, 2012
新しく確認されたJava のゼロデイ脆弱性をつく攻撃は、数日以内に広く拡散する恐れがあります。
セキュリティ企業FireEye は、中国の Web サーバーからの標的型の攻撃で使用された脆弱性として報告していました。この攻撃コードをホストしていた Web ページのタイムスタンプは、2012 年の 8 月 22 日でした。
この脆弱性は、サポート対象であるプラットフォームの Oracle Java 7 (バージョン 1.7) のすべてのバージョンに影響を及ぼします。Java 6 以前は、影響を受けません。さらに現在のところ、パッチは公開されていません。
次回予定されている Java のアップデートは、2012 年 10 月 16 日です。Oracle 社は 、Java 攻撃コードに対して迅速にパッチを公開しないという、好ましくない前例があります。この脆弱性に対しては緊急のパッチを速やかに公開してほしいと思います。
初期のレポートでは、Google Chrome はこの問題の影響を受けないことが示唆されていましたが、攻撃者のコードにバグがあったために影響を受けていなかっただけのようです。Metaploit プロジェクトでは、すべてのブラウザとオペレーティングシステム (Windows、OS X、Linux) でこの脆弱性を攻撃するコンセプト検証コードを公開しています。
Michael Schierl 氏は、このバグについて詳細な分析を実施し、Java セキュリティマネージャを無効にしてしまうことも突き止めました。
この脆弱性は簡単に攻撃が可能です。ジャーナリストの Brian Krebs 氏は、この攻撃コードがすでに、Blackhole Exploit キットに追加される予定であることを確認しています。
Blackhole キットは、犯罪者によって最も頻繁に悪用される攻撃コードのパッケージであるため、今後の影響が非常に懸念されます。この脆弱性は未だパッチが利用できず、今後直ぐにパッチが公開されない可能性が高いことも、大きな懸念点です。
Krebs 氏は、Blackhole ツールの作成者との対話の中で、このような攻撃コードの価格は闇市場では 10 万ドルの値が付くこともあると聞かされています。これは、このタイプの脆弱性を悪用する攻撃がいかに効果的であるかを示すものです。
私はこれまで可能であれば Java を削除するように推奨してきましたし、その考えは今も同じです。しかし、残念ながら多くのユーザーにとって Java は必要悪となっています。私も Java を使用する Libre/Open Office のユーザーです。
この問題に対する良い解決策として、お気に入りの Web ブラウザで Java プラグインを無効にすることをお勧めします。
ブラウザで Java を要求するイントラネットにアクセスする必要がありますか? クライアントファイアウォールを使用して、javaw.exe によるイントラネット内以外のリソースへのアクセスを無効にしてください (Windows)。
別の解決方法として、Java を無効にしたブラウザを使用してネットを閲覧し、Java を必要とするサイトがあれば代替のブラウザを使用することです (Java は JavaScript ではなく、ほとんど必要はありません)。
もちろん、高品位なアンチマルウェアソフトウェア、ファイアウォール、Web フィルタ製品をインストールすることで、多くの保護機能を利用できるようになります。
ソフォスのお客様は、このマルウェアの攻撃コード Troj/Agent-XNE および悪意のある Java アプレット Mal/JavaKnE-H から保護されます。Web プロテクション製品を使用されているソフォスのエンドポイントのお客様は、これらの悪意のあるサイト CXweb/BadDlod-G へのアクセスがブロックされます。