ソフトウェア大手のオラクルは、4月30日以降、パブリック・ダウンロード・サイトに「Java SE 7」のアップデートを公開しないことを告知し、ユーザーには最新のJava SEバージョン(2015年4月時点ではJava8)にアップデートするように呼びかけています。
公式アップデートが終了するということは、Java SE 7に新たな脆弱性が発見されても、オラクルからは何のサポートも受けられないということになります。すると、脆弱性を利用してインターネット経由で攻撃してくるウイルスなどの感染を防げなくなります。
Javaのバージョンアップをしているユーザーは半数強
オラクルによると、2015年1月に行われたCPUのリリースと共に、OSの自動更新機能を有効にしているユーザーは、自動的にJava8へのアップデートが行われます。
ただ、独立行政法人情報処理推進機構(IPA)が2015年2月に公開した「2014年度情報セキュリティに対する意識調査」では、「Javaのバージョンアップを実施している」と答えた割合は55.8%と約半数にとどまっており、ユーザーの間では脆弱性によるセキュリティ被害への認識が低いことが窺えます。IPAでは、Java SE 7利用者に向けて注意喚起を行い、意識の向上に努めています。
脆弱性を利用した攻撃ってどんなもの?
では、脆弱性を利用した攻撃とは、具体的にどのようなことが起きる可能性があるのでしょうか。
例えば、クライアントPCの場合。Eメール経由で不審なウェブサイトにアクセスさせられ、ウイルスに感染。その結果、個人情報の漏えいという事態が想定できます。
サーバの場合であれば、悪意ある攻撃によってサーバの情報が書き換えられ、サービスの停止や機密情報の漏えいなどが起こる可能性があります。
IPA によると、2014年に公開されたソフトウェアの脆弱性対策情報7086件のうち、「Java SE 7」に関するものは111件。決して少ない数字とは言えないでしょう。
日本オラクル、Java最適化調査の提供を開始
日本オラクルでは、こうしたセキュリティ被害を防ぐために、4月から「Java最適化ファーストステップサービス」の提供を開始しています。これは、サポートの終了した古いバージョンのJavaを情報システムの基盤として使用している企業に対し、最新バージョンへのアップデートが可能かどうか、またバージョンアップしたときのシステムの修正規模、費用の見積もり、ほかのシステムへの影響度合いなどを調査するものです。企業ごとの個別見積もりになるため、報告には1カ月ほど要するようです。
企業全体のシステムであれば、個人のPCのように気軽にアップデートすればよいというものではないでしょう。多少費用はかかるとしても、大切な情報システム基盤を守るため、こうしたサービスの利用を検討してみてはいかがでしょうか。
