Javaゼロデイ脆弱性の緊急修正プログラム公開-ユーザは早期適用を

2013年1月14日(米国時間1月13日)、トレンドマイクロが 1月11日に注意喚起した Java 7 に存在するゼロデイ脆弱性に対応する緊急修正プログラムが公開されました。Java 利用者には、当該修正プログラムの早期適用を推奨します。


今回確認されている脆弱性は、修正プログラム公開前にすでにサイバー攻撃で悪用されていることが確認されています。この脆弱性を利用した不正プログラム(エクスプロイト)は、「Blackhole Exploit Kit(BHEK)」や、「REVETON」という「身代金要求型不正プログラム(ランサムウェア)」の亜種を拡散させる「Cool Exploit Kit(CEK)」といった攻撃ツールで利用されています。

「REVETON」は、昨今問題となっているランサムウェアの一つで、ユーザのコンピュータをロックした上で地元警察からを装う偽の警告文を表示、ロックを解除したければ「身代金」という形で 200~300米ドルに及ぶ罰金をユーザに要求する不正プログラムです。

今回公開された修正プログラムには、「CVE-2013-0422」と「CVE-2012-3174」という 2つの脆弱性に対する修正と、合わせて Javaのセキュリティレベルを「中」から「高」にするという初期設定の変更が含まれています。この初期設定の変更によって、署名がされていない Javaアプレットが実行される際には、ユーザに警告が表示されるようになります。

緊急修正プログラムが公開されたことを受け、Java を使用しているユーザは、この修正を早急に適用することを推奨します。一方、Java を利用していて何らかの理由で修正プログラムが適用できない場合には、Webブラウザのプラグイン、アドオンなどの設定で Java を無効にすることで、外部 Webサイトを経由した攻撃からのリスクを回避できます。Java が不要な場合には、Java 自体をアンインストールすることも一つの選択肢です。

トレンドマイクロは、問題のエクスプロイトや関連するランサムウェアをパターンでブロックするとともに、サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」のフィルタで Javaファイルのダウンロードを防ぎます。

関連記事:

  • セキュリティブログ:ランサムウェアを拡散するJavaのゼロデイ脆弱性を確認
      /archives/6521
  • 参考記事:

  • Java ダウンロードページ(英語情報)
      http://www.oracle.com/technetwork/java/javase/downloads/index-jsp-138363.html