Java 7の公式サポートが終了、早急な対策を

公式サポートが終了したソフトウェアの危険性

ソフトウェアやOSの公式サポート終了（End of Service：EoS）は近年、Windows XPやWindows Server 2003でも話題になっている。公式サポートでは、メーカーが提供するソフトウェアに不具合があった場合に、随時あるいは定期的に修正パッチやアップデートを提供する。

しかし、公式サポートが終了すると、こうした対応が行われなくなるため、特に重大な脆弱性が発見された際には非常に危険な状態になってしまう。今回、公式サポートが終了した「Java 7」は、JDK（Java Development Kit）、およびJavaアプリケーションを実行するソフトウェアであるJRE（Java Runtime Environment）に共通するプログラム群のことを指す。幅広いプラットフォーム上でさまざまな機能を持つソフトウェアを開発、提供できるため、広く普及している。特に、Javaはウェブサイトに導入されており、それによって、表現力の高いコンテンツを提供できる。ユーザは、ウェブブラウザにJavaのプラグインをインストールすることでコンテンツを利用できる。

開発元のオラクル社は、四半期ごとにJavaのセキュリティアップデート（Critical Patch Updates）を公開している。Javaは自動更新機能が搭載されており、クライアント環境では比較的アップデートが適用されやすい。しかし、サーバ環境ではアプリケーション等の動作に影響を与える可能性があるため自動更新というわけにはいかない。一般にはアップデートの適用に検証を行わなければならず、システムの改修が必要になるケースもあるため、アップデートを適用しない、あるいは適用までに時間が要するケースが多い。なお、IPAの調査によると、2014年度のJavaのバージョンアップの実施は55.8％にとどまっている。※1

※1　” 公式サポートが終了する Java Platform, Standard Edition 7（Java SE 7）の利用者に向けた注意喚起”, IPA,  http://www.ipa.go.jp/about/press/20150311.html, (2015年3月11日)

狙われるJavaの脆弱性

前出の報告書によると、ソフトウェア全体では、脆弱性対策情報（7086件）のうち、深刻度が最も高い「レベルIII」の脆弱性はその24.5％（1738件）を占めている。その内、2014年に公開された「Java SE 7」が影響を受ける脆弱性対策情報は111件、このうちレベルIIIは48件であり、43％を占めた。

Javaは幅広い環境で利用されており、しかも脆弱性を解消するパッチの提供が四半期ごとと「ゼロデイ攻撃」を受ける期間が長い。さらに、提供されているパッチの適用率もそれほど高くはない。これらの背景に加え、Javaの脆弱性には深刻度の高いものが多いため、Javaはサイバー攻撃者が標的にしやすい対象のひとつとなっている。

具体的な攻撃手法としては、ドライブ・バイ・ダウンロード（標的ユーザを改ざんしたウェブサイトへ誘導させ、悪性コードをダウンロードさせる手口）によりウイルスに感染させるものが多い。その結果、ウイルス感染させてPCを乗っ取ることが可能となるため、機微情報の窃取や不正操作等の被害が発生する。

また、スピアフィッシングメールなどによってメール本文にあるリンクによる誘導や、水飲み場攻撃（標的となる人物がよくアクセスするウェブサイトを改ざんしておく標的型攻撃の手法）も用いられている。ちなみに、この際の改ざんサイトは、見た目は殆ど分からないようにJavaの脆弱性を悪用する攻撃コードのみが埋め込まれている。サーバに対しての攻撃は、脆弱性のあるバージョンのJavaを使用したウェブアプリケーションが標的となる。悪意ある細工したサーバに対して送信することで脆弱性を悪用し、アプリケーションに異常動作を引き起こさせる。その結果は脆弱性の種類にもよるが、サーバに記録されている情報の窃取や、システム停止といった影響がある。

さらに最近では、「Java RAT」が活発化している。RATとは「Remote Access Tool」の略で、感染した端末を遠隔操作できる不正プログラムのひとつだ。RATそのものは以前から存在しているが、近年Javaで開発されたRATの悪用の増加が確認され始めている。攻撃者の観点では、RATをJavaで開発することにより、幅広い環境を攻撃のターゲットとすることができる。さらに、一般的な不正プログラムが使用する「exe」や「dll」でなく、「JAR」（Javaアーカイブ）のファイル形式は、一般にウイルス対策ソフトウェアを回避しやすいうえに、正規のJavaプログラムと区別がつきにくいという特徴がある。

Java RATによる攻撃については、たとえばクレジットカード会社からのメールを騙るメールに、「JAVA_OZNEB.B.」と呼ばれる古いJava RATが添付されていたという事例が日本を含む世界各国で報告されている。感染すると、スクリーンショットを撮影したり、ディスプレイにメッセージを表示したり、追加のプラグインをダウンロードする。プラグインには仮想通貨の情報を探すものも確認されている。このRATはAndroid向けマルウェアにも転用できるため、UNRECOM（Universal Remote Control Multi-Platform）と命名された。※2

既に、標的型攻撃においても攻撃メールにJARファイルを添付するケースを確認している。この添付ファイルを実行すると、RATがダウンロードされ、リモート操作されてしまう。このRATを送った攻撃者はメール情報や金融機関の情報、クレジットカード情報などを盗むために複数のマルウェアを使用しており、その中にはPOSマルウェアも含まれているとの報告もある。

※2　  Mark Joseph Manahan, ” Old Java RAT Updates, Includes Litecoin Plugin”, トレンドマイクロ TrendLabs Security Intelligence Blog,  http://blog.trendmicro.com/trendlabs-security-intelligence/old-java-rat-updates-includes-litecoin-plugin/, (2014年4月16日)

Javaの公式サポート終了への対策

公式サポートが終了して危険状態となった「Java 7」への対策として、最善策は「Java 8」への移行となる。クライアントの場合は、Javaのサイトから「Java 8」の最新版をインストールすれば良いが、サーバの場合はバージョンアップのための検証やテストなどが必要となる。「Java 7」を使い続けるリスクを考慮すれば、なるべく早く「Java 8」への移行を実施したい。

また、クライアントの場合はJavaそのものを無効にするという対策もある。最新のJavaでは、コントロールパネルからJavaの無効化が可能になった。コントロールパネルの「セキュリティ」タブに、「ブラウザでJavaコンテンツを有効にする」という項目があるので、このチェックを外すことで無効にできる。特定のサイトのみJavaを有効にする設定も可能だ。ただし、ウェブブラウザによっては完全に無効化できないため、オラクルではブラウザごとの設定方法を公開している。※3

対処までに時間がかかる場合には、侵入検知や改ざん検知を強化する必要がある。たとえばWAF（Web Application Firewall）や、次世代ファイアウォールと呼ばれる対策製品・サービスの導入が有効となる。これらは脆弱性を悪用しようとする攻撃のシグネチャを作成して攻撃を無効にできるので、脆弱性が存在した状態でも攻撃から守ることが可能となる。

※3  ” WebブラウザでJavaを無効にするにはどうすればよいですか。”, Java.com,  http://java.com/ja/download/help/disable_browser.xml

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

>>　オンラインフォームよりお問い合わせを行う　<<