シスコの2014年年次セキュリティ報告書によると、オラクルのJava技術はセキュリティ問題の主要な原因となっています。
シスコの最近のセキュリティ・レポートによると、2013年、IT組織はさまざまなサイバー攻撃やリスクに直面しました。しかし、Javaを除いて、これほど非難されている技術はありません。
シスコの2014年版アニュアル・セキュリティ・レポートによると、2013年の全セキュリティ問題の91パーセントをJavaが占めています。
"Javaは、観測されたネットワーク攻撃における負荷値の大きな割合を占めています。"とeWEEK誌に語ったのは、シスコの技術部門の幹部、レヴィ・グント氏。
2013年にシスコが27億ドルで買収したシスコのセキュリティ脅威調査部門は、セキュリティ脅威レポートの中でJavaに関するデータを公開しています。
サイバーセキュリティ攻撃の91パーセントがJavaによって引き起こされていることに驚きました!これらの攻撃の中には、Javaの『ゼロデイ攻撃』の脆弱性を悪用したものもありました。もちろん、その大部分はすでに知られているJavaの脆弱性を悪用したものです」。
2013年にJavaによる攻撃件数が増加したのは、Ciscoだけではありません。Hewlett-Packard社やKaspersky Lab社を含む企業も、2013年にJavaによる攻撃の急増を目の当たりにしています。1月15日、オラクルは51の脆弱性をカバーするJavaアップデートをリリースしました。
「2013年は、Javaの脆弱性が爆発的に増加した年でした」。とグント氏。
グント氏はまた、「Javaの脆弱性がこれほど激しく爆発した理由は、人々が頻繁にアップデートをしないことと関係がある」とも述べています。
Javaは、オペレーティングシステム間の互換性に優れているため、多くの企業や開発者に支持されています。
「現在の課題は、膨大な数のJavaアプリケーションがあるため、アップデートをリリースするのが簡単ではないということです。また、パッチがアプリケーションの機能を壊してしまうこともよくあります。とグントは付け加えました。
「ビジネス・ユーザーにとって、既存の課題はパッチの必要性ほど単純ではありません。とグント氏。
しかし、パッチをリリースするだけでは十分ではありません。2013年だけでも、Javaのゼロデイ攻撃は数多く発生しており、これらの脆弱性によって米国労働省が攻撃される事態にまで発展しています。
Javaを使わない、あるいは無効にすることに加えて、グント氏はいくつかの提案をしました。最も重要なのは、攻撃された場合にユーザーの行動を適宜監視できるようにすることです。
「例えば、ユーザが要求したウェブページに難読化された JavaScript が含まれていましたか?その結果、ユーザーは別のページにリダイレクトされたのでしょうか?"とグント氏。
通常のウェブサイトでは、隠しJavaScriptや難読化JavaScriptを使用することはほとんどありません。
2013年の全体的な傾向
シスコのレポートでは、Javaの脆弱性を狙った攻撃に加え、その他にも多くの重要な業界統計が指摘されています。その中には、2014年のサイバー攻撃件数が昨年と比較して全体で14%増加したことが含まれています。
そのため、今問題になっているのは、いつセキュリティ侵害が発生するかということではなく、企業がその問題に気づき、対策を講じ、パッチを当てるまでにどれくらいの時間がかかるかということなのです」とグント氏。"
さらに、2013年に組織が直面したもう1つのセキュリティ問題は、人材の問題でした。シスコのレポートによると、2014年にはセキュリティ分野の専門家の需要が100万人を超えると予想されています。
経験したセキュリティの脅威を見ると、2013年は悲惨な年でした。どのようなツールを使おうとも、適切なスタッフがいなければ、情報を確実に保護することは難しいのです"
