人権団体のWebサイトでJavaの脆弱性を悪用する攻撃、セキュリティ企業はJava削除を提案

Javaの既知の脆弱性を悪用し、Webサイトを見たユーザーをマルウェアに感染させる攻撃が発覚した。F-Secureは「ほとんどのユーザーにとってもはやJavaは必要ない」として削除を呼び掛けた。

[鈴木聖子，ITmedia]

　国際人権団体アムネスティ・インターナショナルの英国サイトが改ざんされ、Javaの脆弱性を突いた不正なコードが仕込まれているのが見つかったとセキュリティ企業が伝えた。Javaの脆弱性については以前から危険性が指摘されており、F-Secureは、WebブラウザからJavaプラグインを削除した方が無難だと提言している。

　セキュリティ企業Barracuda NetworksやF-Secureのブログによると、アムネスティのWebサイトには不正なiframeが仕掛けられ、別のWebサイトから悪質なJavaコンテンツを読み込んでマルウェアをインストールさせる仕掛けになっていた。攻撃に利用されたのは、今年10月のJava定例アップデートで修正された脆弱性（CVE-2011-3544）。Javaをめぐっては、アップデートを適用しないまま放置しているユーザーが多く、攻撃の格好の標的になっているとして以前から問題が指摘されていた。

　アムネスティのWebサイトに不正なコードが仕込まれたのは12月16日以前だったと見られ、それ以降に同サイトを見たユーザーは、知らないうちにマルウェアに感染した恐れがあるという。

　F-Secureでは今回の攻撃の発覚に先立ち、「ほとんどのユーザーにとってもはやJavaは必要ない」として、WebブラウザからのJavaプラグイン削除を呼び掛けていた。削除しても、ユーザーが考えているほど大きな影響はないという。

　もしもオンラインバンキングなど特定のWebアプリケーション用にJavaが必要な場合は、システムにJavaを残しておいて、普段使うWebブラウザからはJavaプラグインを削除し、Javaが必要な特定サービス専用に別のWebブラウザを使う方法を提案している。