Javaは、まだ安全とは言えません

---

　※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。

---

　開発言語としてのJava の人気が落ち、重大な Java ゼロ デイエクスプロイトの拡散、そして公開したパッチがその根本的な問題に対して有効ではあるが不完全であるという一連の悪いニュースが続いたこの一週間は、Oracleにとって長い一週間となったでしょう。
しかし、サイーバ犯罪市場では、もう別の Java ゼロデイエクスプロイトが売りに出ているのです。


　結論は、こういうことです：Java は強力で人気があるが、安全なプラットフォームではない。

Java に多くの脆弱性があることは以前から知られており、 解決されていない問題のリストが短くなることがありません。
先週のJavaゼロデイ問題に関係する２番目の脆弱性は、基礎となる構造とのやり取りが関係するため、当面完全に修正される気配はありません。

　Javaは、すべての主な OS に提供されていることからマルウェアの開発者には魅力的です。
ゼロデイ問題に関して、サイバー犯罪の地下市場では、今後も活発な取引が行われるでしょう。


　今回、Oracle は素早くパッチを公開してゼロデイの猛火を鎮火しました。
しかし、いつ炎を上げてもおかしくない問題は、まだまだたくさん残っています。
Oracle が Java のデフォルトのセキュリティレベルを引き上げ、Java コンテンツを実行する前にユーザのクリックによる承認を求めるようになったのはよいことです。
しかし、署名されたコンテンツは制限なく実行されます。
アプリケーションに署名するのは、マルウェア開発者にとってさほど高い ハードルではありません。
この変更で、次の大きなゼロデイ攻撃を遅らせることができても、その効果は長く続かないでしょう。

　Apple が数年前から Java と縁を切ろうとしていることは、Apple のユーザにとって幸運でした。
セキュリティの視点に立てば、これは賢い選択だった言えます。
しかし実際には、多くのユーザが Java の問題と無縁ではいられません。
昨年Flashback が数十万の OS X ユーザに感染したのは Java のゼロデイ脆弱性によりユーザの知らない内にこのマルウェアをインストールさせることができたからです。
それ以外にも2012年を通し、比較的被害の少ない他のマルウェアがユーザの操作なしで自らをインストールさせるるために、Javaの他の脆弱性を利用しています。


　多くのアプリやウェブサイトがブラウザで Java を必要とするため、使っているブラウザの Java を無効にできないユーザもたくさんいます。
今や、Java を利用するかしないかという決定を行っている人々と、この問題について議論するべき時かもしれません。
自分が仕事で使っている Java を使用するアプリから別のアプリに乗り換える予定があるかどうか、IT 担当者に確認してください。
Java を必要と する銀行やそのアプリの開発元に Java を必要としないバージョンを開発する予定があるか訊いてください。
セキュリティ業界の人間は、とにかく Java を無効に するべきだと言います。
もっともな助言です。
しかし、毎日の仕事で Java を使っているユーザにとってそれはは不可能です。
アプリの開発者やそのアプリを採用することを決定する人達には、ユーザ（あなた）を危険にさらさないための決断を行う 責任があります。

Posted on January 16th, 2013 by Lysa Myers



出典：Intego Security Blog
Twitter：@IntegoSecurity

---

Mountain Lion 対応！！
15年に渡りMac専用として進化し続けて来たのはIntego 社の Mac 用セキュリティソフト だけです。
Intego 製品についてもっとよく調べる


Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter：@act2com
Twitter：@act2support

---