Apple、FacebookにJavaエクスプロイト攻撃 企業用Macを狙った過去最大のサイバー攻撃
米国IT企業が多数狙われたサイバー攻撃。一連の事象から読み取れることとは?
(このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。)
Appleは最近、ハッカーに攻撃を受けた有名企業のリストにその名を連ねました。ちょうどその前の週、Facebookが同様の攻撃を受けた直後のことです。Reutersでは企業の「Apple Computerを狙うサイバー攻撃としては最も広く知られた」として報道しています。
つまり、一大事です。
FacebookとAppleは今回、Javaソフトウェアのプラグインからハッキングを受けました。以前、こちらのブログ(英語)でJavaの脆弱点の重大性について述べたことがありますが、Javaは、家庭やオフィスにあるあらゆるデバイスで実行されているプログラミング言語であり、コンピューティングプラットフォームです。また、AppleやFacebookをはじめ、みなさんが商品を購入するなど関わりのある企業ではほとんど、Javaが使われているのです。
今回の場合、AppleとFacebookの従業員のコンピュータは、不正ソフトウェア(マルウェア)に感染したデベロッパーWebサイトにアクセスしたことにより感染しました。このマルウェアは、Macコンピュータを感染させるために特別に設計されたものでした。Apple本社のように知名度の高い企業環境では、このようなマルウェアに感染することは、これまでめったになかったことです。
その上、ハッカーはAppleとFacebookだけで終わりにしていません。2月初め、Twitterも同様の不正ソフトウェアによる不正アクセスを検出したことを発表しました。AppleやFacebookへのハッキングとは異なり、Twitterへの不正アクセスでは、25万人近くのユーザー情報が漏えいした可能性があります。このような攻撃は前例がなく、一連の攻撃の全貌が判明していないという事実を考えると、非常に厄介です。
今回の攻撃の意味と、私たちができること
今月半ば、私は「うちのAppleデバイスがハッキングされる可能性はあるか?」(英語)というタイトルのブログを投稿しました。この答えが断然「イエス」であることを、今や誰も否定しないはずです。今回の件は、企業のMacコンピュータに対する初の重大攻撃といえるでしょう。サイバー犯罪者たちが、進化するAppleのオペレーティングシステムに時間と資金を投じ続け、新たな脅威を開発していくことは明らかでしょう。しかし、今回のエクスプロイトは、Appleファンを動転させただけではありません。Windowsユーザーも、PCを感染させるバージョンがあることを心に留めておくべきです。
結局のところ今回の一件は、「セキュリティやインターネットの安全性に関するベストプラクティスにもっと注意を払うように」という、超初心者用ホームコンピューターのユーザーから、FacebookやTwitter、Apple本社にいるベテラン開発者に至る、私たちすべてに対する警鐘なのです。
この攻撃から家庭用デバイス(PC、Mac、スマートフォン、タブレット)を守るには
1.メインのWebブラウザでJavaを無効にするか削除する。 この方法については、このテーマについて以前私が投稿したブログで詳しく説明していますので、こちら(英語)をご覧ください。ハッカーは、「Java update(Javaアップデート)」や「Java virus(Javaウイルス)」といったキーワード何気なく検索するユーザーを見張っています。ソフトウェアの更新方法を探す時は注意してください。本当のJavaホームページへのリンクはこちらです。使用しているブラウザのJavaをアップデートする方法や無効にする方法についても説明されています。
2.「マカフィー サイトアドバイザー」をインストールする。 このソフトウェアは、マカフィーが提供する無料のブラウザプラグインです。ユーザーがGoogleやBingで「Java update(Javaアップデート)」と入力して悪意ある検索結果に誘導された場合などに、ユーザーのコンピューターを保護します。マカフィー サイトアドバイザーは、PCでもMacでも利用できます。検索結果の横に小さな評価アイコンが表示され、色分けでユーザーに危険なサイトを警告します。
3.すべてのソフトウェアを常に最新の状態に保っておく。 Appleのような大企業は、大規模攻撃を受けると必ず対応策をとります。米国西海岸にあるオフィスでは、セキュリティチームが午前3時に起床し、今回のような不正アクセスが二度と起きないようにするために懸命に作業しているとのことです。その成果がソフトウェア更新です。数日のうちに、コンピュータやタブレット、スマートフォンにポップアップ表示されるはずです。この更新を、いえ、どのような更新もオフにしないでください。たった2分間の更新で、マシンの修正と失ったデータの回復を試みる膨大な時間(と多額の資金)を節約できます。
4.セキュリティソフトウェアをダウンロードする。 マカフィー製品の宣伝か――と思われそうですが、真剣な話です。家庭にあるすべてのデバイスを守るには、これが最も効果のある方法なのです。マカフィー オール アクセスのようなソリューションは、各デバイスが受けられる最大レベルの保護でPC、Mac、スマートフォン、タブレットを守ります。セキュリティソフトウェアをまだインストールしていないすべてのユーザーの皆さんに、利用をおすすめします。
関連記事
- Microsoftにもサイバー攻撃、Mac事業部門でマルウェア感染
- Apple社内のMacもマルウェア感染、Javaの脆弱性を悪用
- Facebook、「ゼロデイ攻撃を受けたがユーザーデータは無事」と発表
- Twitter、25万人のパスワードを含む個人情報漏えいの可能性
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 約半数の企業は“初期段階” アイデンティティーセキュリティに関する調査が公開
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。