Javaの未解決の脆弱性、Mac狙う攻撃に悪用の恐れも

脆弱性はOS X 10.8.1（Mountain Lion）でも悪用できることが確認された。現時点でWindowsが標的とされているが、他のマルウェアにも利用されるのは時間の問題とみられる。

[鈴木聖子，ITmedia]

　Javaの未解決の脆弱性を突く標的型攻撃の発生が確認された問題で、マルチプラットフォームに対応したJavaの特性を利用して、この脆弱性がWindowsだけでなくMacを狙った攻撃にも使われる可能性があると、セキュリティ専門家が指摘している。

　Mac専門のセキュリティソフトメーカーIntegoによると、今回発覚したJavaの脆弱性は、8月27日の時点ではWindowsを標的として、「Poison Ivy」というリモートアクセス型トロイの木馬に感染させる攻撃に使われている。しかし、他のマルウェアにも利用されるのは時間の問題とみられる。

　Javaの脆弱性を突いたクロスプラットフォーム攻撃はここ数年で急増しており、今年に入って猛威を振るったMac狙いのマルウェア「Flashback」もJavaの脆弱性を悪用して感染を広げた。

　セキュリティ企業のErrata Securityは、脆弱性検証ツール「Metasploit」のモジュールを使い、今回のJavaの脆弱性を突くエクスプロイト（脆弱性実証コード）が各OSとWebブラウザに対してどの程度通用するかをテストした。

　その結果、Windows 7、Ubuntu 12.04、OS X 10.8.1（Mountain Lion）の各OSと、Firefox 14.0.1（Windows、Linux、OS X版）、IE 9、Safari 6、Chrome 21.0.1180.83のWebブラウザ全てで、この脆弱性が悪用できることを確認したという。

　OS X 10.8.1については、JRE（Java Runtime Environment）バージョン1.7を実行している場合に、Firefox 14.0.1とSafari 6.0で脆弱性が悪用できることを確認。ただしブラウザのプラグインのJREをバージョン1.6のまま更新しなければ、同エクスプロイトは通用しなかったとしている。

　Javaの脆弱性を修正する定例アップデートはOracleが4カ月に1度の頻度で公開しており、次回リリース予定は10月16日。今回の脆弱性については特に、エクスプロイトのソースコードが公開されているため、Oracleが臨時に対応しない限り、パッチが公開されるまでにさらに多くのマルウェアが出回る可能性は極めて大きいとIntegoは警告する。

　対策としては、ウイルス対策ソフトウェアを最新の状態に保つことや、Javaを無効にすることのほか、JREをバージョン1.6にダウングレードするという選択肢も考えられるとSANS Internet Storm Centerは解説している。