インフィニティソリューションズ株式会社ブログ

Java 7の脆弱性を悪用する攻撃から身を守るには

日本アイ・ビー・エム株式会社(日本IBM)が8月30日、JREおよびJDK 1.7の脆弱性(CVE-2012-4681)を悪用する攻撃を東京SOCにおいて確認したとして、注意喚起を発表している。JAVA 7には2つの脆弱性が含まれており、アタッカーはこの2つを巧みに組み合わせ、ターゲットとなるPC上で悪意あるコードを実行できるようにしている。我々はどのようにしてそのような攻撃から身を守ればいいのか。

InformationWeekのこの記事を参考にしよう。

Java Zero-Day Malware Attack: 6 Facts(Javaゼロデイアタック:6つの事実)

1. Warning: Uninstall Java, Or Maybe Disable(警告:Javaをアンインストールするか、無効にする)

‘Security experts have recommended that users disable all Java browser plug-ins, pending a patch from Oracle.’

「セキュリティの専門家は、Oracleからパッチが出てくるまで、全てのブラウザのJavaプラグインを無効にすることを勧めている。

‘In fact, at least for IE users, US-CERT suggested that the difficulties involved in disabling Java might require stronger measures. “Due to the complexity and impracticality of disabling Java in Internet Explorer, you may wish to uninstall Java to protect against this vulnerability.”‘

「実際、少なくともIEユーザについて、US-CERTは、Javaを無効にするのが難しいため、より強力な手段が必要だとしている。『IEでJavaを無効にするのが複雑で現実的ではないため、脆弱性から守るためにJAVAをアンインストールした方がよい。』」

— Chormeでも多少の手順が必要だが、IEでは、Javaアプレットを起動する方法が複数あるため、全部を無効にするのがかなりやっかい。

US-CERT Vulnerability Note

2. Oracle Learned Of Vulnerabilities Four Months Ago(Oracleは脆弱性について4ヶ月前に認識していた)

‘Is Oracle patching critical vulnerabilities in Java quickly enough? Sunday, FireEye went public with details of a never-before-seen attack. In response, some security researchers this week criticized the company for behaving irresponsibly by not having worked with Oracle to patch the flaws before disclosing them publicly.’

「OracleはJavaの重要な脆弱性に対するパッチを急いで作っているのか?日曜日、FireEyeは、今まで見たことがないアタックの詳細を公表した。セキュリティ研究者の中には、公にする前にOracleと対策を協議しなかったという無責任な対応だとして、今週になって同社を非難している者もいる。」

‘But IDG News reported Wednesday that Polish vulnerability research company Security Explorationsdisclosed the two exploited vulnerabilities to Oracle–including detailed proof-of-exploit attack code–more than four months ago, on April 2.’

「しかし、IDG Newsによれば、ポーランドの脆弱性研究会社Security Explorationsは、すでにこの2つの脆弱性について、エクスプロイトを証明するアタック・コードとともに、Oracleに明らかにしていたのだ。4ヶ月以上のも前の4月2日だ。」

— どうなっているのかは良く分からないが、パッチが出てい来るのは10月になるとの見通しが強いようだ。

3. Vulnerability Added To BlackHole Within Hours(数時間のうちにBlackHoleに脆弱性が追加された)

‘The seriousness of the new Java exploits can be measured by the speed with which exploit toolkit authors updated their software to make use of the exploit. According to Wisniewski at Sophos, “it took less than 12 hours from the time the proof of concept for the latest Java zero-day vulnerabilities went public for exploits of those vulnerabilities to be included in a commercial crimeware kit”–namely, the BlackHole toolkit.’

「この新しいJavaの脆弱性の深刻さは、エクスプロイト・ツールキットの作者が、ソフトウェアを更新するスピードで測ることができる。Sophos社のWisniewski氏によれば、『最新のJavaゼロデイ脆弱性のコンセプトが公開されてから、商用のクライムウェア・キット(いわゆるBlackHoleツールキット)に組み込まれるまで12時間もかからなかった。』」

4. Attackers Like Java For Its Simplicity(アタッカーはシンプルだからJavaが好き)

Javaであれば、Windows、Mac OS Xのみならず、モバイル、組み込み系デバイスもターゲットにできるため、アタッカーにとって魅力的らしい。

5. Java Exploits Wildly Successful(Javaエクスプロイトはひどく成功している)

Seculert社のブログによれば、

‘”Usually, a good exploit kit like BlackHole has a success rate of around 10% for infecting machines visiting the servers. In the new version of BlackHole infection servers, we have seen up to a 25% percent success rate,” it noted, and said 99% of those successful exploits were thanks to using Java vulnerabilities.’

「通常、BlackHoleのような良く出来たエクスプロイト・キットであれば、サーバに訪れたマシンに感染できる成功率は10%程度。BlackHole感染サーバの新バージョンでは、成功率が最大25%で、エクスプロイトに成功したうちの99%は、Javaの脆弱性を活用してのものであった。」

6. Malware May Be Targeting Mac Users(マルウェアはMacユーザをターゲットにしているかもしれない)

‘A variant of the Tsunami malware that can target both OS X and Linux systems may already be using the new Java vulnerabilities to infect systems. “This method of infection has not yet been confirmed, but as this OS X malware connects out to the same IP address as the Windows backdoors known to be dropped by [the Java vulnerability], it seems they are at least related incidents,” said Lysa Myers, a “virus hunter” at Mac security software firm Intego, in a Wednesday blog post.’

「OS XとLinuxの双方をターゲットにできるTsunamiマルウェアの派生型はすでに新しいJava脆弱性を活用しているかもしれない。『この感染手法はまだ確認されていないが、OS XマルウェアはWindowsバックドアと同じIPアドレスに接続していることから、関連して事象のようである』とMac向けセキュリティソフトウェア会社Itegoの『ウィルス・ハンター』Lysa Myers氏はブログで語っている。」

OS XにはJAVA 6が入っており、JAVA 7にアップグレードするにはマニュアルで行わなければならないため、いつの間にか、脆弱性の危険にされされた状態になっている、ということはないようだが・・・

ひとまずは、Javaプラグインを無効にしておいた方がよさそうだ。