Javaの脆弱性狙う攻撃が横行、全ソフトウェアのアップデート適用を

Microsoftの報告書によれば、2011年上半期に発生したソフトウェアの脆弱性を突く攻撃の中で最も多かったのは、Javaを狙った攻撃だった。

[鈴木聖子，ITmedia]

　OracleのJavaの脆弱性を突いた攻撃が横行し、アップデートを適用しないまま放置された環境が危険にさらされているとして、米Microsoftが11月28日のセキュリティブログで注意を呼び掛けた。

　同社が10月に発表したセキュリティインテリジェンスレポート（SIR）第11版によれば、2011年上半期に発生したソフトウェアの脆弱性を突く攻撃の中で最も多かったのは、OracleのJava Runtime Environment（JRE）、Java仮想マシン（JVM）およびJava SEを狙った攻撃だったという。

　2010年7月から2011年6月までの1年間で見ると、各四半期の間に発生した攻撃のうち、約3分の1から2分の1をJavaに対する攻撃が占め、Microsoftのマルウェア対策技術でJava攻撃を検出・遮断した件数は計約2750万件に上った。

　悪用が多かったJavaの脆弱性の多くは何年も前に発覚し、既にセキュリティアップデートも公開されているものだったという。

　こうした現実を念頭に、しばらくの間Javaをアップデートしていない環境ではリスクを検証する必要があるとMicrosoftは指摘する。検証に当たっては複数のバージョンのJavaが存在している可能性があることを認識すべきだとした。

　また、「広く普及しているソフトウェアはすべて攻撃の標的となる」という認識のもと、Windowsだけでなくすべてのソフトウェアを最新の状態に保ち、信頼できるベンダーのマルウェア対策ソフトウェアを実行することを対策として挙げている。