現時点でのJavaの最新バージョンは Java 8 です。1つ前のバージョンであるJava 7 について、Java の開発元である Oracle では、公式サポートを 2015年4月末で終了することを以前から公表しています。最近でも Oracle社のブログにて、Java 8 へのアップデートを促す記事の中で、4月中に公開される Java 7 update 80 が最後の公式リリースとなることを公表していました。まだ Java 8 にアップデートされていない利用者の方々は、早急なアップデートを行うことを推奨します。
トレンドマイクロの調査では、最新の Java 8 を使用している利用者は全世界で全体のおよそ 2割でした。ほとんどの利用者がまだ Java 8 にアップデートしていないことがわかります。また、これを日本国内の利用者に限定してみたところ、アップデートしている利用者はより少なくなり、全体の 16%に過ぎませんでした。同時に日本においても世界においてもJava 7 の利用者は、Java 8 の利用者の 2倍以上いることも確認できました。
図1:Java 8 の利用者割合(左:全世界、右:日本)
(トレンドマイクロの個人向けセキュリティ製品による集計)
トレンドマイクロでは最近の様々な脆弱性の攻撃ツールにおいて、Internet Explorer、Adobe Flash に次いで Java の脆弱性が攻撃対象となっていることを確認しています。また、今回の Java 7 のサポート終了後に何が起こるかを考える際には、同様のケースとして 2013年4月の Java 6 のサポート終了の事例が思い起こされます。Java 6 のサポート終了後の2013年6月には、Javaの脆弱性として「CVE-2013-2463」が確認されています。この脆弱性は Java 6 にも影響があることがわかっていましたが、既にサポート終了済みの Java 6 を修正するアップデートが公開されることはありませんでした。攻撃者は脆弱性攻撃ツールにおいて、脆弱性未修正の Java 6 を狙う攻撃コードを利用する攻撃を取り入れ、広く攻撃を継続しました。来る4月30日以降、同様の状況が発生することは間違いないでしょう。
■被害に遭わないために
脆弱性を利用する攻撃は、修正されていない環境では大きな被害をもたらしますが、既に脆弱性が修正されている環境では何の影響も及ぼせません。既にJava 8 を利用している 16%以外の国内利用者の方々は、早急なアップデートを行うことを推奨します。自身が使用している Java のバージョンについて確認したい場合、Oracle社のサイト上で Java のバージョンをチェックできます。
図2:Oracle社のサイトでのJavaのバージョン確認画面
■トレンドマイクロのソリューション
法人向けクライアント対策製品「ウイルスバスターコーポレートエディション」のプラグイン「脆弱性対策オプション」の「推奨設定検索」機能では、ご使用のクライアント内のアプリケーションの状況を確認し、脆弱性に対する推奨フィルタを自動的に適用します。これにより、クライアントにどのような脆弱性が存在するかも確認することができます。
個人向けクライアント対策製品「ウイルスバスタークラウド」の「修正プログラムとセキュリティ設定の確認」機能では、Adobe Reader、Javaのバージョンをチェックし、適用可能な修正プログラムがある場合、適用を促します。