JRE(Java Runtime Environment:Java実行環境)の未修整の脆弱性を悪用した攻撃が発生しているとして、セキュリティ企業や機関が注意を呼びかけている。修正版が提供されるまでの間は、WebブラウザのJavaプラグインを無効化しておくことをお勧めする。
JREは、Java(ジャバ)というプログラミング言語で書かれたアプリケーションやアプレット(ブラウザ内で動くアプリケーション)を実行するために必要なソフトウェアで、インストールされているパソコンも多い。
各社の情報によると、ユーザーを脅して支払いを要求するランサムウェアを、Windowsパソコンに強制的にインストールしようとする「ドライブバイダウンロード攻撃」に、今月2日頃からこのJREの未修正の脆弱性が悪用されはじめたらしい。攻撃コードは公開されており、複数のエクスプロイトキットにも実装されているという。
エクスプロイトキットは、改ざんサイトなどの誘導先に仕掛けられる、Webブラウザに脆弱性攻撃を仕掛けるツールキットのこと。ウイルス感染を目的としたサイト改ざんは、国内でも相変わらず続いており、この脆弱性を悪用した攻撃が拡大するおそれがある。
影響するのは、「JRE 7 Update 10」およびそれ以前のバージョン。現時点でオラクルからは修正版が提供されていないので、JREをインストールされている方は、Webサイトの閲覧中に発生する攻撃を回避できるように、WebブラウザのJavaプラグインを無効化しておくことをお勧めする。
最新の「JRE 7 Update 10」からは、Webブラウザ用プラグインの有効化/無効化を、「Javaコントロール・パネル」から簡単に操作できるようになっている。コントロール・パネルの「Javaコントロール・パネル」を開き、「セキュリティ」タブを選択。「ブラウザでJavaコンテンツを有効にする」の欄がチェックされている場合には、プラグインが有効だ。このチェックを解除して[適用]ボタンをクリックすると、すべてのブラウザのJavaプラグインが無効になり、ブラウザ経由の攻撃を回避できる。
(2013/01/11 ネットセキュリティニュース)
【関連URL】
・JVNTA13-010A:Oracle Java 7 に脆弱性(JVN)
http://jvn.jp/cert/JVNTA13-010A/index.html
・VU#625617Java 7 fails to restrict access to privileged code[英文](CERT)
http://www.kb.cert.org/vuls/id/625617
・Happy New Year from New Java Zero-Day[英文](FireEye)
http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html
・Zero-Day Java Exploit Debuts in Crimeware(Krebs on Security)
http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/
・New year, new Java zeroday!(AlienVault Labs)
http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/
・Happy New Year from New Java Zero-Day(FireEye)
http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html
・WebブラウザでJavaを無効にするにはどうすればよいですか。(オラクル)
http://www.java.com/ja/download/help/disable_browser.xml