Javaの脆弱性を狙った攻撃が発生、最新版へのアップデートを


 Javaの脆弱性を狙った攻撃サイトが確認されたとして、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は5日、注意喚起を行った。攻撃に用いられている脆弱性は10月に公開されたアップデートで修正されているため、JPCERT/CCではJavaのアップデートを行うよう呼びかけている。

 JPCERT/CCでは、Java SE JDKおよびJREの既知の脆弱性を使用した攻撃サイトを確認しており、現時点では、1)正規サイトが改ざんされ、サイトにアクセスしたユーザーを攻撃サイトに転送し、マルウェアに感染させようとするケース、2)スパムメールの本文内に記載されたリンクをユーザーにアクセスさせ、攻撃サイトに誘導し、マルウェアに感染させようとするケース――の2つの攻撃手法を確認しているという。

 また、既に脆弱性診断ツールの一部や、いわゆるGumblar(ガンブラー)で用いられたExploit Kitの一部にもこの脆弱性を悪用するコードが組み込まれていることを確認しており、攻撃活動が拡大することが考えられるとして、アップデートを呼びかけている。

 脆弱性の影響を受けるのは、Java SE 6 Update 27以前のバージョンを使用している場合で、最新版のJava SE 6 Update 29でこの脆弱性は修正されている。


関連情報


(三柳 英樹)

2011/12/5 12:18