シスコが最近発表した「2014年セキュリティ年次報告書」の中で、オラクルのJava言語が世界的なセキュリティ侵害の背後にある最大のハッカーであると指摘しました。
シスコはその報告書の中で、IT分野の企業は2013年に大小を問わずセキュリティ・リスクと攻撃に見舞われたが、Javaほど非難に値するテクノロジーはないと述べています。同レポートによると、2013年に世界全体で発生したあらゆる形態のサイバー侵入のうち、Javaだけで展開されたハッキング攻撃がなんと91パーセントを占めたとのことです。
この報告書に携わった脅威研究者で、シスコの技術部門の責任者でもあるレヴィ・ガントによると、Javaは今や、事実上すべての計画的サイバー攻撃において最も重要な武器になっているとのこと。
「2013年に世界で発生したサイバー侵入の全形態のうち、Javaベースのハッキングが91%を占めていたことに非常に驚きました。これらの攻撃の一部は、Javaの『ゼロデイ攻撃』の脆弱性を悪用したもので、大部分は私たちがすでに知っていたJavaの脆弱性を悪用したものでした」とグント氏。とグント氏。
実際、2013年を迎えてJavaベースのハッキング攻撃が増加していることに気づいたのは、HPや業界で有名なKaspersky Labを含め、Ciscoだけではありません。現地時間の土曜日、オラクルはJavaのアップデートをリリースしました。
「2013年は間違いなく、Javaの脆弱性が爆発的に増加した年でした」。とグントは付け加えました。
これに加え、グント氏は、Javaの脆弱性がハッカーの標的になりやすいもう一つの理由は、人々が通常アップデートを適時に行わないからだとも考えています。しかし同時に、Javaはその優れた互換性から、常に企業や開発者の間で人気があります。
グント氏は、「現在の課題は、Java言語で書かれたアプリケーションの数が非常に多いため、アップデート・パッチを発行することがもはや容易ではないということです。ビジネス・ユーザーにとって、この課題はさらに困難です。"
2013年にはJavaのゼロデイ攻撃が多発し、これらの脆弱性は米国労働省の日常業務に大きな影響を与えたほどです。
ビジネス・ユーザーが同様の攻撃を防ぐためにJavaを無効にするだけでは不十分であることを考慮し、グント氏は報告書の中で予防的なアドバイスも提供しています。彼は、このような攻撃を防ぐために最も重要なことは、ユーザーが警戒することだと考えています。
"例えば、ユーザーが不明瞭なJavaスクリプトを含むページを開いた場合、そのユーザーはリダイレクトされたかどうかを確認する必要があります。というのも、ほとんどの通常のウェブサイトは、不明瞭なJavaスクリプト言語や隠されたJavaスクリプト言語を使用しておらず、さらにユーザーの許可なくリダイレクトすることもないからです。とグントは付け加えました。
「この割合が100%にも上るというのは、非常に驚くべきことです。つまり、今問題になっているのは、これらの企業がいつセキュリティ侵害を起こすかではなく、それに気づいてパッチを当てるまでにどれくらいの時間がかかるかということなのです」。とグントは付け加えました。
シスコは、セキュリティ問題を抱える組織が増加していることに加え、報告書の中で技術業界が直面している人的資源の問題も指摘しています。具体的には、IT セキュリティ分野の専門家として働く人の数が、2014 年には最大 100 万人不足するというものです。
「2013年は、経験した脅威の状況を考えると、非常に悲惨な年でした。どのようなセキュリティ・ツールを用意しても、適切な従業員が仕事に従事していなければ、ITの安全確保は難しいでしょう」。とグントは締めくくりました。
