修正されたばかりのJRE(Java Runtime Environment:Java実行環境)の脆弱性を狙う攻撃が確認されたとして、セキュリティ機関などが注意を呼びかけている。最新版を使用していない場合には、Webサイトを閲覧しただけでウイルスに感染してしまうおそれがある。
IBM東京セキュリティー・オペレーション・センター(IBM Tokyo SOC)やJPCERTコーディネーションセンター(JPCERT/CC)によると、先月修正されたJREの脆弱性を悪用した攻撃機能が、一部の「Exploit Kit(エクスプロイトキット)」に組み込まれているのが確認されたという。「Exploit Kit」は、閲覧者のパソコンにトロイの木馬や偽セキュリティソフトなどを強制的にインストールするために、さまざまな脆弱性攻撃を仕掛けるツールキットのこと。改ざんされた正規サイトから誘導される攻撃サイトでよく使われており、脆弱性攻撃の拡大が懸念される。
新たに組み込まれた脆弱性攻撃が影響するのは、「JRE 7 Update 7」およびそれ以前のバージョンと、「JRE 6 Update 35」およびそれ以前のバージョン。これらを使用している場合には、攻撃サイトに誘導されると悪質なプログラムを強制的にインストールされてしまう可能性がある。IBM Tokyo SOCが確認した攻撃では、金銭を要求する画面を表示し、他の操作を受け付けない状態になる「ランサムウェア」がインストールされたという。
新たに悪用が始まった脆弱性は、先月公開の「JRE 7 Update 9」「JRE 6 Update 37」で修正されているので、必ずアップデートを実行し、最新版を使用していただきたい。最新版を使用していれば、攻撃を受けても悪質なプログラムが強制的にインストールされることはない。
現在パソコンにインストールされているJREのバージョンは、下記の「Javaソフトウェアのインストール状況のテスト」のページで確認できる。最新版への更新は、Windowsの場合は、Javaコントロールパネルの[アップデート]タブの[今すぐアップデート]ボタンで。Macの場合は、アップルメニューの「ソフトウェア・アップデート」で行える。
(2012/11/16 ネットセキュリティニュース)
【関連URL】
・2012年10月に公開されたJRE / JDKの脆弱性を悪用する攻撃を確認(IBM Tokyo SOC)
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/java_20121112?lang=ja_jp
・2012年10月公開の Java SE の脆弱性を狙う攻撃に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2012/at120036.html
・Javaソフトウェアのインストール状況のテスト
http://www.java.com/ja/download/installed.jsp