Javaに未修正の脆弱性報告 標的型攻撃に悪用か

セキュリティ各社によれば、米国や西欧諸国を標的にしたサイバー攻撃にこの脆弱性が悪用されている。

[ITmedia]

久しぶりに“ゼロデイ”の脆弱性が報告されたJava

　Javaで“2年ぶり”となる未修正の脆弱性が7月13日までに、セキュリティ各社から報告された。この脆弱性は最新版プラグインの1.8.0.45に存在し、既に標的型攻撃で悪用されているという。

　Trend MicroやSymantecによれば、脆弱性の悪用攻撃は「APT28」などと呼ばれる組織の攻撃活動「Pawn Storm」の中で行われているという。APT28は、2000年代後半から北大西洋条約機構（NATO）や米国の国防関連組織などを標的にサイバーテロ活動を繰り返し実行しているとみられる組織。

　今回の攻撃では標的型メールなどを通じてJavaの脆弱性悪用コードがホストされたIPアドレスに誘導されるという。このIPアドレスは、4月に確認された別の攻撃にも利用されていたという。また、攻撃ではMicrosoftが2012年に対処したWindowsコモンコントロールの脆弱性（MS12-027）も悪用されているとしている。

4月の攻撃で使われた標的型メールの添付ファイル（Trend Microより）

　Trend MicroはOracleに連絡を取り、パッチ提供に向けた準備を進めているという。同社では最新版が影響を受ける一方、1.6以前や1.7など古いバージョンは影響を受けないとしている。Symantecは、Javaが広範なプラットフォームで利用されていることから非常に危険性が高いと指摘。WebブラウザなどのJavaを無効化するなどの回避策を推奨している。