2月に修正されたJRE(Java Runtime Environment:Java実行環境)の脆弱性を悪用する攻撃が拡大の兆しを見せており、セキュリティ機関などが注意を呼びかけている。未更新のパソコンでWebサイトを閲覧していると、知らない間にウイルスに感染してしまうおそれがある。
JREは、Javaで書かれたプログラムを実行するために必要なソフトウェア。オンラインで確定申告ができる「e-Tax」で、住基カードを使用する際にもJavaアプリケーションが使われており、JREが必須となっている。
Javaの開発元オラクルは、先月、JREの最新版「JRE 6 Update 31(1.6.0_31)」と「JRE 7 Update 3(1.7.0_3)」をリリースし、13件の脆弱性を修正した。今回悪用が確認されたのは、この最新版で修正された脆弱性のひとつ、配列処理の問題(CVE-2012-0507)だ。
メールのリンクや改ざんされた正規サイトなどから誘導される攻撃サイトに、この脆弱性を悪用した攻撃が仕掛けられており、JREが未更新のパソコンで閲覧すると、偽セキュリティソフトやパソコンを乗っ取るボットなどが勝手にインストールされてしまう。
今回見つかったJREの脆弱性攻撃は、さまざまな脆弱性攻撃をパッケージ化した攻撃ツール(エクスプロイトキット)のひとつに、今月中ごろ実装されたようで、JREのほかにもWindowsやAdobe Reader、Flash Playerといった、さまざまな脆弱性攻撃を仕掛けてくる。
悪用されている脆弱性は、いずれも修正済みのものばかりなので、システムやアプリケーションが最新の状態であれば、Webサイトを閲覧するだけでウイルスに感染してしまうようなことは起きない。アップデートはいずれも無料なので、下記の関連トピックスを参考に必ず実施してただきたい。
(2012/03/26 ネットセキュリティニュース )
【関連URL】
・2012年2月公開の Java SE の脆弱性を狙う攻撃に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2012/at120010.html
・Javaの脆弱性(CVE-2012-0507)を悪用する攻撃の増加を確認(IBM Tokyo SOC)
https://www.ibm.com/connections/blogs/tokyo-soc/entry/java_exploit_201203221?lang=ja
・An interesting case of JRE sandbox breach (CVE-2012-0507)[英文](Microsoft Malware Protection Center)
http://blogs.technet.com/b/mmpc/archive/2012/03/20/an-interesting-case-of-jre-sandbox-breach-cve-2012-0507.aspx