こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
独立行政法人情報処理推進機構および一般社団法人JPCERT コーディネーションセンターは1月18日、Oracle Java の脆弱性対策について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Javaに深刻度の高い脆弱性が発見されました。該当するバージョンをご利用中の方は、直ちに修正プログラムの適用を検討しましょう。今回、発表された脆弱性の内容と、脆弱性を修正する際に気を付けるべきポイントについて説明します。
今回の脆弱性は、Oracle Java SEにリモートから簡単に攻撃可能な複数の脆弱性が発見されました。悪用されると、サービス拒否の状態などを引き起こす可能性があります。
対象となるバージョンは、Oracle Java SE 19.0.1, 17.0.5, 11.0.17, 8 Update 351-perf, 8 Update 351です。脆弱性の詳細は、CVE番号「CVE-2023-21835」で検索してみてください。他にも複数の脆弱性が発表されていますので、Oracle Java製品をご利用中の方は、2023年1月のクリティカルパッチアップデートについて、詳細を確認してください。
Oracleからは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、IPAではできるだけ早急に修正プログラムを適用するよう呼びかけています。
攻撃された場合の影響が大きい脆弱性は、CVSSのスコアとソフトウェアが使われている環境から判断することができます。
CVSSとは、Common Vulnerability Scoring Systemの略で、共通脆弱性評価システムと訳される、脆弱性に対するオープンで包括的かつ汎用的な評価手法です。主にCVSS基本値を参考に、発見された脆弱性に対して深刻度が付与されています。
CVSS基本値が導き出される基本評価基準では、脆弱性のあるシステムをどこから攻撃可能であるかの「攻撃元区分」、脆弱性のあるシステムを攻撃する際に必要な条件の「攻撃条件の複雑さ」、脆弱性を攻撃するために対象システムの認証が必要であるかどうかの「攻撃前の認証要否」の3つに加え、機密性、完全性、可用性への影響を総合的に評価します。これではわかりづらいと思いますので、深刻度の高い脆弱性を具体的に言うと、リモートから簡単に認証不要で攻撃ができて、情報漏えいや改ざん、システムの停止を引き起こす脆弱性は深刻度が高いと言うことができます。
このCVSS基本値に加え、より多くの人が使用しているソフトウェアの脆弱性は、社会的に影響が大きいことが考えられます。Oracle Java SEは多くの人が利用しており、過去に発見された脆弱性がマルウェアの感染に悪用されたことが確認されています。そのような状況を鑑みて、IPAやJPCERT/CCから注意喚起が出されていると考えられます。
脆弱性の対策をするために修正プログラムを適用する際は、他のアプリケーションへの影響と、他の製品へ組み込まれている場合の修正方法について、気を付ける必要があります。
緊急度の高い脆弱性に対する修正プログラムが提供された際は、直ちにその適用を検討したいところですが、修正プログラムによってシステムが変更されることにより、他のアプリケーションが動作しなくなる可能性はゼロではありません。対策として、あらかじめテスト環境で修正プログラムを適用して動作に問題がないか確認した上で、本番環境へ修正プログラムを適用することが挙げられます。脆弱性の深刻度によっては、テスト環境で問題がないことが確認されるまで、サービスを停止することも検討しましょう。
また、脆弱性が発表されたソフトウェアを直接利用していなくても、別の製品に組み込まれていることも考えられます。今回と同じくJavaに関連する脆弱性であるLog4jも、様々な製品に組み込まれていたことから、利用者が対策の必要性に気が付くまでに時間を要してしまうこともありました。今回のJava SEはパソコンにあらかじめインストールされていることも考えられますので、使用している製品の製造元から出ているセキュリティ情報は定期的に確認するようにしましょう。
今回は、Oracle Java SEに発表された脆弱性の内容と、脆弱性を修正する際に気を付けるべきポイントについてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ