セキュリティ研究者らは、最近修正されたJavaのリモートコード実行の脆弱性がすでにサイバー犯罪者によって悪用され、コンピュータにスケアウェアを感染させる大規模攻撃に利用されていると警告している。
CVE-2013-2423 として特定されたこの脆弱性は、Oracle が 4 月 16 日にリリースした Java 7 Update 21 で修正された 42 件のセキュリティ問題の 1 つでした。
オラクルの当時のアドバイザリによると、この脆弱性はJavaのサーバーではなくクライアント環境にのみ影響します。同社は共通脆弱性評価システム(CVSS)を用いて、この脆弱性の影響度を10点満点中4.3と評価し、「この脆弱性は、信頼されていないJava Web Startアプリケーションおよび信頼されていないJavaアプレットを通じてのみ悪用される可能性がある」と付け加えました。
しかし、CVSSスコアの低さは、サイバー犯罪者がこの脆弱性を狙うことを阻止できなかったようだ。CVE-2013-2423のエクスプロイトがCool Exploit Kitと呼ばれる高性能Web攻撃ツールキットに統合され、「Reveton」と呼ばれるマルウェアのインストールに利用されていると、Kafeineという名で知られる独立系マルウェア研究者が火曜日のブログ投稿で述べた。
Revetonは、被害者から金銭を脅し取るために使用されるランサムウェアと呼ばれる悪意のあるアプリケーションの一種です。具体的には、Revetonは感染したコンピュータのオペレーティングシステムをロックし、違法なファイルをダウンロード・保存したとして、架空の罰金の支払いを要求します。
フィンランドのウイルス対策ベンダーF-Secureのセキュリティ研究者は、CVE-2013-2423の脆弱性が悪用されていることを確認した。攻撃は4月21日に始まり、火曜日の時点でもまだ活発だったと、彼らはブログ投稿で述べている。
できるだけ早くJavaをアップグレードしてください
F-Secure の研究者らによると、侵入テストでよく使用されるオープンソースツールである Metasploit フレームワークに同じ欠陥を悪用するエクスプロイトが追加された翌日から、攻撃者がこの脆弱性を狙うようになったという。
サイバー犯罪者が Metasploit のエクスプロイト モジュールを入手し、それを独自の悪意ある攻撃ツールキットで使用できるように改造したのは、今回が初めてではありません。
コンピュータ、特にブラウザでJavaを使用する必要があるユーザーは、Javaを最新バージョン(Java 7 Update 21)にできるだけ早くアップグレードすることをお勧めします。このバージョンでは、WebベースのJavaアプリケーションをWebサイトが読み込もうとしたときに表示されるセキュリティ警告にも変更が加えられ、さまざまな種類のアプレットの実行を許可することに伴うリスクをより適切に表現できるようになりました。
ユーザーは、信頼できるウェブサイト、かつ通常そのようなコンテンツを読み込むウェブサイトからのJavaアプレットのみを実行することに同意する必要があります。Google ChromeやMozilla Firefoxなどのブラウザには、「クリックして再生」と呼ばれる機能があり、明示的な同意なしにプラグインベースのコンテンツが実行されるのをブロックできます。
