【不具合】Javaの新たなゼロデイ・エクスプロイトが登場――オーディオ入出力Javaクラスの脆弱性を悪用

http://www.computerworld.jp/topics/563/205684

　Javaの新たなゼロデイ・エクスプロイトが闇市場で売られているのが見つかり、専門家はユーザーに、WebブラウザでJavaを無効に
するよう改めて呼びかけている。

　公に知られていないJavaの脆弱性を悪用するこの最新エクスプロイトは11月27日、ブログのKrebsonSecurityを運営するブライアン・
クレブズ（Brian Krebs）氏によって報告された。同氏によると、招待制サイトであるUnderwebの常連が、Javaプラットフォームの最新版
「Java JRE 7 Update 9」の脆弱性を突くエクスプロイトを販売していた。価格は「5ケタ」とされていたという。

　クレブズ氏によると、この販売者はこのエクスプロイトについて、オーディオ入出力を処理するJavaクラス「MidiDevice.Info」の脆弱性
を使用するものと説明している。さらに、このエクスプロイトの「コード実行機能は非常に信頼できるものであり、Windows 7上のFirefox
とMSIE（Microsoft Internet Explorer）で試した全バージョンのJava 7で動作した」と述べているという。

　3カ月前にもJava 7の2つのゼロデイ脆弱性とそのエクスプロイト・コードが発見されている。1つは米国Accuvantのセキュリティ研究者、
もう1つは米国Immunityの開発者が発見した。これらの脆弱性は、Javaプラグインがインストールされたブラウザが動作するWindows、
Mac OS X、Linuxシステムに影響した。

　今回のようにエクスプロイトが大っぴらに売られるのは珍しいと、英国Sophosのシニア・セキュリティ・アドバイザー、チェスター・ウィス
ニエフスキー（Chester Wisniewski）氏は指摘した。「確かに、犯罪者が使う招待制サイトでのことだが、かなりストレートに売り込みが行
われていたようだ」

　Javaは世界中の30億台のデバイスで使われていると、Javaを管理する米国Oracleは述べている。クロスプラットフォームのランタイム
環境を提供するJavaは、広く普及している一方で、ユーザーのコンピュータでパッチが適用されていないことが多いため、ハッカーの格
好の標的となっている。セキュリティ・ベンダーの米国Rapid7は、Javaがインストールされているシステムの65％が、パッチを適用されて
いないと推計している。

　「多くの人は、

最大でも99999円か

>>1
【アップルボムを減らそう】　iPhone、iPad空輸禁止を強化…爆発の恐れ　【手榴弾】

iPhone、iPad空輸禁止を強化…爆発の恐れ
http://news.livedoor.com/article/detail/7182910/

　中国の宅配便会社、円通速遞の廈門（アモイ）分社責任者の劉新華氏は28日までに、
「iPhone（アイフォーン）やiPad（アイパッド）の航空便利用の配達は、今後受け付けられない」と説明した。
爆発する恐れを完全には排除できないためという。同じ動きが今後、広まる可能性もある。
　今後は、中国の宅配便各社が、危険物に指定されている物品の
航空便取り扱いを拒否する動きが広がる可能性がある。
　宅配便業界の関係者によると、規則を無視し、内容を偽って空輸が禁止されている
化粧品やリチウム電池を航空便として送っているのは、多くの場合には通販会社という。
通販会社は宅配便会社と提携したり出資していたりするので、宅配便会社も状況の是正がしにくいという。

>>2
円建てかよ

Microsoft、Amazonを始め、世界中の有力エレクトロニクス・ブランドが
Foxconnの顧客であり、Foxconnに製品の製造、組み立て、仕上げを委託している。

以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。

http://jp.techcrunch.com/archives/20120126dirty-money/


以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。
以前問題になった従業員の大量自殺が起きたのはXboxの製造ラインだった。

>>5
Xbox 360は2005年発売。Foxconnで生産を始めたのも2005年だろう。
2005年当時は自殺者なんて居なかったわけだ。

iPhoneは2007年発売。Foxconnで生産を始めたのも2007年だろう。

Foxconnで自殺が問題になり始めたのは2010年。

この2010年、Xbox 360に大きな動きは無かった。
iPhoneには活発な動きがあって、iPhone4が発売された年だ。

iPhoneは前年より売れている。

Foxconnの工場内では売れているiPhone生産に人員を集中させるわけだ。
すると当然Xbox 360にもしわ寄せがくる。人員には限りがある。Xbox 360担当の人数は削減される。
だがXbox 360も常に一定数は安定して売れるので生産量は変わらない。
結果、少ない人数で長時間作業をすることになる。労働環境が悪化する。

つまり、自殺が続発したのはXbox担当の社員だったとしても、
その原因はiPhoneの可能性が高い。この点は変わらないんだよ。

　米Microsoftはここ数年、OSのセキュリティ強化において、かなりいい仕事をしてきた。
そのおかげで、マルウェアを使った攻撃は、OSに代わってアプリケーションレイヤーが狙われるようになっている。
マルウェア対策ソフトベンダーであるロシアのセキュリティ企業Kaspersky LabsがまとめたITセキュリティ動向に関する最新報告書を見ても、
Microsoftのアプリケーションが極めてしっかりとしている一方で、米OracleのJavaや米Adobe Systemsの「Adobe Acrobat」「Adobe Flash」には課題が多いことが分かる。

　報告書によると、2012年第3四半期のエクスプロイトのうち、56％はJavaの脆弱性を、25％は「Adobe Acrobat Reader」（バージョン6からは「Adobe Reader」に名称変更）の脆弱性を悪用していた。
MicrosoftのWindowsと「Internet Explorer（IE）」のエクスプロイトが全体に占める割合はわずか4％にとどまり、深刻なエクスプロイトのワースト10の中に同社の名はなかった。

http://techtarget.itmedia.co.jp/tt/news/1212/20/news07.html

米連邦政府や日本の独立行政法人が、有力プログラム言語の「Ｊａｖａ（ジャバ）」をパソコン上で使えなくするよう求めている。外部から攻撃されやすくなっており、個人情報などが盗まれる危険が高まっているためだ。(朝日新聞デジタル)

http://www.itmedia.co.jp/enterprise/articles/1302/15/news077.html

　ユーザーが古いバージョンからの更新に消極的なソフトウェアはOracle JavaとAdobeのFlash Player、Reader――カスペルスキーが、1100万以上のユーザーを対象に、コンピュータのソフトウェアの脆弱性状況について調べた結果を発表している。

　それによると、見つかった脆弱性は1億3200万件以上で、1ユーザーあたり平均12件、約800種類に上った。
検知数の多いソフトウェアは、AdobeのShockwaveやFlash Player、AppleのiTunesおよびQuickTime、Oracle Javaだった。

　検知数全体の70％を占めた37種類の脆弱性については、少なくとも10％のコンピュータにおいて1週間以上にわたり検出が続いた。
脆弱性が解消されなかったとみられる。
37種類の脆弱性のうち、サイバー犯罪者が多用するエクスプロイトは8種類（Java：5種、Flash Player：2種、Adobe Reader：1種）だったという。

　エクスプロイトの多い3製品では古いバージョンから新しいバージョンへの更新作業が進んでいない状況も分かった。
Javaでは最新バージョン公開後6週間で切り替えたユーザーが28.2％にとどまり、約7割のユーザーは危険な脆弱性を解消しないままだった。

　Flash Playerでは10.2％のコンピュータにサポートが終了した古いバージョンが見つかり、Adobe Readerでは13.5％のコンピュータに2011年12月に発見された脆弱性が存在していた。
いずれも2012年を通じて変化が無かったといい、脆弱性が放置されたままとみられている。

　米国のメディアやネット企業を狙ったサイバー攻撃が相次ぐ中で、米Appleも社内のMacがマルウェアに感染する被害に遭っていたことが分かった。
メディア各社が2月19日付で伝えた。

　IT情報サイトAllThingsDなどの各社にAppleが寄せた声明によると、Webブラウザ用のJavaプラグインの脆弱性を悪用したマルウェアが、Apple社内の「少数の」Macに感染していたことが判明。
同社は感染したシステムをネットワークから隔離した。
情報が流出した形跡はないとしている。

　問題のマルウェアはApple以外にも複数の企業に対する攻撃に使われているもので、ソフトウェア開発者向けのWebサイトを通じて流通しているという。

　これに先立ち米Facebookも、1月にJavaの脆弱性を突いたゼロデイ攻撃の被害に遭い、従業員のPCがマルウェアに感染したことを明らかにしていた。
このマルウェアも、Facebook従業員がアクセスしたサードパーティー開発者のWebサイトが感染源だった。

　また、Twitterも2月1日、同社のユーザー情報を狙った不正アクセスを検出したと発表。
1件については進行中の攻撃を発見して直ちに対処したが、ユーザー約25万人のユーザー名やアドレス、セッショントークン、暗号化されたパスワードなどの情報が流出した恐れがあるとして、これらユーザーのパスワードをリセットする措置を取った。

　Javaは、OSを問わないマルチプラットフォーム対応の特性を利用して、WindowsとMacの両方を狙った攻撃に利用されている。
Macの場合、OS X LionからはJavaをインストールせずに出荷されるようになり、追加的なセキュリティ対策として、35日以上使われなかったJavaを自動的に無効化する措置も導入した。

　Appleは今回の攻撃発覚を受けて19日、Javaマルウェア削除ツールの更新版をリリースし、今回のマルウェアを検出・削除できるようにしたと発表している。

http://www.itmedia.co.jp/enterprise/articles/1302/20/news037.html

OracleがJavaのアップデートを公開、5件の脆弱性に対応
http://www.atmarkit.co.jp/ait/articles/1302/20/news057.html

Facebook、「ゼロデイ攻撃を受けたがユーザーデータは無事」と発表
http://www.itmedia.co.jp/news/articles/1302/16/news009.html

Apple社内のMacもマルウェア感染、Javaの脆弱性を悪用
http://www.itmedia.co.jp/news/articles/1302/20/news037.html

Appleなどのマルウェア感染、iOSアプリの開発者向けサイトが経緯を説明
http://www.itmedia.co.jp/news/articles/1302/21/news034.html

Microsoftにもサイバー攻撃、Mac事業部門でマルウェア感染
http://www.itmedia.co.jp/enterprise/articles/1302/24/news007.html

アップルに関連したハッキングのタイムライン（エフセキュアブログ）
http://blog.f-secure.jp/archives/50694622.html