Javaの脆弱性を突く攻撃発生、歌詞サイトで悪用

[ITmedia]

　セキュリティ企業AVG Technologiesは4月14日（現地時間）、Sun Java Deployment Toolkitの脆弱性を突いた攻撃が発生したもようだとブログで伝えた。

　同社最高調査責任者のロジャー・トンプソン氏によると、脆弱性を発見した研究者がOracle側に問題を知らせたが、臨時パッチで対処する予定はないとの返答を受け、コンセプト実証（PoC）コードの公開に踏み切った。その5日後に、ロシアの攻撃サーバにこのコードが仕掛けられているのを発見したという。

　攻撃には楽曲の歌詞を掲載しているサイトが利用され、リアーナやアッシャーといった人気歌手の歌詞を使ってユーザーをおびき寄せる手口が使われている。トンプソン氏は、「同様の攻撃が続発するのは必至だ」と臨時パッチの必要性を訴えている。

　今回悪用されているのは、2008年4月にリリースされたJava 6 update 10の「Java Web Start」という機能。同機能を使ってWebサイトからプログラムを実行できるようになったため、「攻撃側にも便利な機能として使われてしまった」とトンプソン氏は指摘している。

変更履歴……初出で「同社の研究者」とありましたが、正しくは「同社の」ではございません。お詫びして訂正いたします。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら