PR
図1 改ざんされたWebページのソースコード例(米ウェブセンスの情報から引用。以下同じ)。赤線で囲まれた部分が、攻撃者によって追加されたコード
図1 改ざんされたWebページのソースコード例(米ウェブセンスの情報から引用。以下同じ)。赤線で囲まれた部分が、攻撃者によって追加されたコード
[画像のクリックで拡大表示]
図2 インストールされる偽ソフトの画面例
図2 インストールされる偽ソフトの画面例
[画像のクリックで拡大表示]

 セキュリティ会社の米ウェブセンスは2011年6月20日、Javaの実行環境「JRE(Java Runtime Environment)」の脆弱性を悪用する攻撃が相次いでいるとして注意を呼びかけた。細工が施されたWebサイトにアクセスするだけで、「偽ソフト」などを勝手にインストールされる恐れがある。

 JREとは、Javaアプリケーションを実行するためのソフトウエア。JREがインストールされていれば、Webブラウザー上でJavaアプリケーションを実行できる。基本的にはバックグラウンドで動作するソフトなので、ユーザーが意識することは少ない。知らずにインストールしていることも多いので、脆弱性を修正した新版が公開されても、アップデートしないユーザーは多いだろう。

 このため、JREの脆弱性を突く攻撃が後を絶たない。今回ウェブセンスが報告した攻撃は、JRE Version 6 Update 23およびそれ以前に存在する脆弱性を悪用する攻撃。この脆弱性は、2011年2月に公開されたUpdate 24以降で修正されている。

 今回の攻撃では、攻撃者は正規のWebサイトに侵入してWebページを改ざん。悪質なJavaアプリケーション(Javaアプレット)をダウンロードさせるようなコードを仕込む(図1)。そのようなWebページに、古いJREをインストールしたパソコンでアクセスすると、悪質なJavaアプレットが勝手に動き出す。

 悪質なJavaアプレットは、いわゆる偽ソフトをインストールおよび実行。偽ソフトは偽のセキュリティ警告を表示して、ユーザーに偽ソフトの有料版を購入させようとする(図2)。

 対策は、JREを最新版にすること。JREには自動更新機能があり、新版が公開されるとバルーンなどを表示して、ユーザーに更新を促す。そういった表示が出たら、必ず更新しておこう。米オラクルの「無料Javaのダウンロード」ページからも、最新版のJRE(Java)を入手できる。