Javaの未解決の脆弱性を突く新手の攻撃、日本のサイトを利用か

[鈴木聖子，ITmedia]

　セキュリティ企業の米FireEyeは2月28日、Javaの未解決の脆弱性を突いたゼロデイ攻撃の発生を確認したと伝えた。Javaの未解決の脆弱性は、別のセキュリティ企業も2月25日に報告しているが、今回の攻撃に使われているのはさらに別の脆弱性とみられる。

　FireEyeによると、今回見つかった攻撃は、Java最新バージョンの「Java 7 Update 15」と「Java 6 Update 41」がインストールされたWebブラウザで、脆弱性を悪用することに成功しているという。

　同社はこの攻撃によって不正なコードがダウンロードされる様子を示した画面のスクリーンショットをブログに掲載した。この画面には、「co.jp」のドメインもつ日本のWebサイトが攻撃に使われていることが示されている。

FireEyeが公開したスクリーンショット

　ただ、脆弱性悪用コードは不安定で、外部のサーバから不正なコードをダウンロードすることはできても、それを実行することができず、Java仮想マシンのクラッシュにとどまる場合も多いと同社は伝えている。この情報はOracleに提供し、協力して対応に当たっているという。

　これに先立ちポーランドのセキュリティ企業Security Explorationsは、未解決の脆弱性2件に関する情報とコンセプト実証コードをOracleに提供したと発表していた。この2件の脆弱性を悪用した攻撃の発生は、現時点では伝えられていない。

　Javaは次々に新たな脆弱性が発覚し、未解決の脆弱性を突く攻撃も後を絶たない。FacebookやAppleでも、Javaの脆弱性を突くマルウェアの感染被害が発生している。

　米セキュリティ機関のSANS Internet Storm Centerはこうした事態を受けて、「Javaは必要なければ削除すること。もし必要な場合は、必要な時のみ有効にし、Sandboxieなど別のサンドボックス内部で実行する」とのアドバイスを繰り返している。