セキュリティインテリジェンスレポート第9巻の調査と準備の過程で、Microsoftのアナリストは興味深い傾向を発見しました。Microsoftの調査結果によると、Javaに対する攻撃は近年、かつてないほど急増しており、Adobe PDFに対する攻撃をはるかに上回っています。
Microsoftはマルウェア攻撃の格好の標的となることに慣れており、Adobeもここしばらくその中心的存在であり続けています。しかし、Microsoft Malware Protection Center (MMPC) のブログ記事には、「今年初めまでに、Javaエクスプロイト(ここで言うJavaエクスプロイトとは、JavaScriptを使った攻撃ではなく、脆弱なJavaコードに対する攻撃を指します)の数は、私たちが監視していたAdobe関連のエクスプロイトの総数をはるかに上回っていました」と記されています。
Javaへの攻撃は、Adobeへの攻撃と全く同じ理由で意味を持ちます。攻撃対象となるオペレーティングシステムプラットフォームを選ばなければならないマルウェア開発者は、Microsoftを選択するでしょう。なぜなら、Microsoftは攻撃対象となる可能性がはるかに高いからです。しかし、Microsoftがより安全なアプリケーションを開発し、セキュリティ制御を強化するにつれて、攻撃者はサードパーティのクロスプラットフォーム技術がセキュリティの弱点となることが多いことに気付きました。
MicrosoftのHolly Stewart氏は、MMPCブログで次のように説明しています。「Javaはどこにでも普及していますが、かつてのブラウザやAdobe Acrobatのようなドキュメントリーダーと同様に、人々はJavaのアップデートを意識する傾向がありません。さらに、Javaはバックグラウンドで動作し、より目に見えるコンポーネントを動作させる技術です。Javaがインストールされているかどうか、あるいは動作しているかどうか、どうすればわかるのでしょうか?」
スチュワート氏は、なぜこのJava攻撃の急増が見過ごされてきたのかという疑問も提起しています。彼女はこの現象を「Javaブラインドネス(Java盲点)」と呼んでいます。スチュワート氏の理論は、新たな脅威を検知・特定すると期待されるIPS(侵入防止システム)製品がJavaを認識できないのは、Javaをリアルタイムで解釈することによるパフォーマンスへの影響が大きすぎるためだということです。
Javaに対する攻撃件数が急増する中、攻撃は主に3つのJavaの脆弱性に集中していました。さらに重要なのは、これら3つのJavaの脆弱性にはすべて既にパッチがリリースされていたことです。しかし、Javaは静かに動作し、本来の機能を果たそうとするため、ユーザーやIT管理者がMicrosoftの月例パッチ火曜日やAdobeの四半期ごとのセキュリティパッチに注目する一方で、Javaは「目にしなければ忘れ去られる」存在となり、脆弱性がパッチ適用されないまま放置される可能性があります。
全体的な視点から見れば、Javaへの攻撃はほんの一握りに過ぎません。Javaへの攻撃の急増は深刻で前例のない規模かもしれませんが、Javaは依然として比較的注目されていない存在です。とはいえ、Microsoftの調査結果は憂慮すべき傾向を浮き彫りにしており、ユーザーとIT管理者が、システムを攻撃にさらす可能性のあるサードパーティ製アプリの脆弱性を特定し、修正プログラムを適用することに、より一層注意を払うよう促すものとなるでしょう。
