2013年01月13日



In Deep のトップページは http://indeep.jp に移転しました。よろしくお願いいたします。




アメリカ国土安全保障省と日本のセキュリティ機関が同時に出した深刻な PC のセキュリティ警告




(注)具体的な設定などの方法は、「 Windows での Java プラグインの無効化の具体的な方法」という記事に書きました。ご参考にしていただければ幸いです。



java-danger.jpg


唐突な感じの記事ですが、このブログにもパソコンでアクセスされている方が多いと思いますが、その意味でも無視できない深刻な可能性のあるニュースがありましたので、いつもとはちょっとカテゴリーの違う記事ですが、記しておきます。


まず、下は昨日の朝日新聞デジタルの記事からの抜粋です。


Java、外部から攻撃の恐れ 米の公的機関が警告
朝日新聞デジタル 2013年01月12日

パソコンやスマートフォンで動画やゲームなどを利用するため幅広く普及している米オラクル社製のプログラム言語「Java(ジャバ)」に情報セキュリティー上の弱点があることがわかり、米国土安全保障省などが使用を控えるよう警告を出した。

ソフトに弱点が指摘されるのは珍しくないが、トレンドマイクロは「実際に攻撃に利用されることが証明されたのに修正ソフトが公開されておらず、今回は緊急度が高い」としており、米政府の警告にもそうした事情があるとみられる。



というものなのですが、「たかがパソコンのセキュリティ」と思われると思いますが、しかし、「米国土安全保障省が警告を出す」というような大事になっている。その理由はこのJavaというものの普及度にあります。






ターゲットは数十億台で、攻撃の方法も簡単。しかも現在は対策なし


このJavaというものがどういうものかということを理解するのは難しいですが、「知らずに毎日のように使っているもの」と考えていいかとも思います。 1995年に開発されて以来、ウィンドウズでも Mac OSX でも、パソコンのほとんどの基本ソフト(OS)で共通で使われているだけではなく、動画やゲームなどを動かすために存在しています。

その普及度は、日本オラクルによれば


11億台のデスクトップ型パソコンや 30億台の携帯電話のほか、ブルーレイディスクプレーヤーに使われている。



というものです。

つまり、今回のセキュリティ問題は、「全世界の数十億台の機器をターゲットにできる」という類い希な規模を持っているにも関わらず、


現段階では修正パッチ(セキュリティ上で安全にできる修正プログラム)がまだ作られていない


ということで、今回の大規模な報道となっているようです。

また、アットマーク・アイティという IT メディアの「Java 7に未パッチの脆弱性、すでに攻撃も発生」という記事によりますと、「CVSSによる深刻度評価は、最高値の「10.0」となっている」とあり、最近では類例のない深刻なセキュリティ問題となっているようです。

CSVV とは、「共通脆弱性評価システム」( Common Vulnerability Scoring Systemt )というセキュリティの危険に対しての評価の基準のことで、基本的には全世界共通と考えても構わないと思います。

cvss.png

▲ CSVV - 共通脆弱性評価システムの段階。


共通脆弱性評価システムのレベルは、日本では「独立行政法人 情報処理推進機構 ( IPA ) 」というところが決定しますが、今回の件と合わせて詳しい記事をお読みになりたい方は、そのサイトである JNV をお読み下さい。

最新記事は「Oracle Java 7 に脆弱性」というもので、それが今回の話のものです。

jvn-2013-1-11.png



そのページによりますと、下のようにほぼすべての危険度で「最高」を示しています。

cvss-level.png


特に上で、私が黒で囲んだ部分の、

「専門知識がなくても攻撃可能」

という部分に私は着目してしまいます。


そして、上のページにある「対策について」なんですが、下のようになっています。


対策方法

2013年1月11日現在、対策方法はありません。

以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

・ウェブブラウザの Java プラグインを無効にする



つまり、根本的な対策は現在なく、 Java プラグインを無効にするという方法だけなのですが、今回はその方法にも最後にふれておきます。






サイバー被害は以前よりも極めて身近になっているからこその脅威


どうして、このニュースにこれほど反応したかというと、ご存じのように、最近だけでも、


パソコンの遠隔操作ウイルス事件

悪質な偽の銀行サイトへの誘導の多発


など、個人に対してのサイバー被害の深刻さは日々増しています。
そこに飛び込んできた、「犯罪者サイドにとっては朗報」(苦笑)の今回の件。

何しろターゲットは「パソコン10億台」です。
世界すべてが宝の山。

ここに目をつけない犯罪者がいるとも思えません。

なので、あまり人ごとだとは思われないほうがいいかと思います。


私は(私自身もやられていると思っていますが)、多くの人々が毎日毎日、少しずつ、様々な情報をパソコンや携帯やスマートフォンから持ち出されていると考えています。その相手が国家や大企業であるとか、個人であるとか、そういうことは関係なく、「セキュリティのしようのない部分」が増えていると感じざるを得ません。

米国などでは、最近は「ツィッターもフェイスブックも結局は CIA の情報収集端末」というような、まあ陰謀論ではありつつも、一概には否定できないような意見も多いです。

下のような記事(英語)などがたくさんあります。


Facebook, Twitter and other social media sites are an elaborate CIA spying scheme
(「フェイスブックもツイッターも CIA が枠組みを作成した精巧なスパイツールだ」)
 Natural News 2012.12.28


私はツイッターもフェイスブックも使ったことがないので何ともいえないですが、確かに「脅威」を少しでも減らすには、上のような「匿名性の薄いメディアから離れる」ということも考える必要もあるような気もしますけれど、しかし、それが極論にまで突き進むと、最終的には「携帯もインターネットもダメ」ということになってしまう。さすがにそういうわけにもいかないでしょうし。



さて、いずれにしても、ここから先は、現在、唯一の有効な対策といえる「 Java の無効化」について記しておきますが、 Mac については、

Mac OS X のブラウザで Java を無効にする方法(米国土安全保障省による「Java」の使用を控える警告を受けて)
 Mac にスイッチしました 2013.01.13

にイラストつきで、ほぼすべてブラウザについて説明してありますので、ご参考下さい。




Java プラグインを無効にする方法


なお、マイクロソフトのウインドウズ( Windows XP, Windows 7, Windows 8 すべてに共通)に付属するインターネット・エクスプローラー(IE)は、単体では、Javaを完全に無効にはできません。 Windows のコントロールパネルにあるJavaコントロール・パネルでJavaを無効にするしかないです。

Windows のコントロールパネルで、Javaを完全に無効にする方法は、日本オラクルの、

WebブラウザでJavaを無効にする方法

の「Javaコントロール・パネルへのアクセス」に記載されています。



以下は、Windows でのプラウザごとの方法です。

繰り返しになりますが、Mac のかたは「Mac OS X のブラウザで Java を無効にする方法」をご覧になられたほうがわかりやすいかと思います。


Firefox の Java の無効化の方法

ff-icon.jpeg

1. 「Firefox」タブをクリックし、「アドオン」を選択

2. アドオン・マネージャ・ウィンドウで、「プラグイン」を選択

3. 「Java Platform」プラグインをクリックして選択

4. 「無効化」をクリック




Chrome の Java の無効化の方法

chrome-icon.jpeg

1. 「レンチ(三つの横棒アイコン)のアイコンをクリックし、「設定」を選択

2. 設定ウィンドウの下部にある「詳細設定を表示」をクリック

3. 「プライバシ」セクションまでスクロールし、「コンテンツの設定」をクリック

4. 「プラグイン」セクションで「プラグインを個別に無効にする」をクリック

5. その「プラグイン」パネルで、「Java」を探して、そこにある「無効にする」をクリック。これで Java プラグインを無効化されます。

6. Chrome を再起動。




Safari (Windows 版) の Java の無効化の方法

safari-icons.jpeg

1. 「環境設定」を選択

2. 「セキュリティ」オプションを選択

3. 「Javaを有効にする」のチェックを外す



以上です。


なお、今回の件により、IT 関連企業がかなりのダメージを受けるという話も出ていて、「ジャバマゲドン( Javamagedon )」というような言葉さえ出ているとのことであります。

そういえば、「〇〇マゲドン」といえば、米国では「フルマゲドン」という言葉が見出しとなったニュースを見ました。




米国を襲う過去最悪レベルのインフルエンザの爆発的流行

そのニュースは、米国のニューサイエンティストの、

Is the US facing Flu-maggedon?
 米国は「フル-マゲドン」に直面しているのか?
 New Scientist 2013.01.11

という記事です。
この「フル」はインフルエンザのこと。

そうなんです。

現在、アメリカではインフルエンザの流行が異常なレベルとなっているようなのです。

下は1月4日までの全米のレベルの図。

flu-11.jpg


上3つの色の「赤〜濃いオレンジ」は「危機的状況」を示します。
その危機的状況を示す州がが全米 30州に迫ろうとしています。

参考までに VOR の記事を貼っておきます。


米国の47州でインフルエンザ流行
VOR 2012.01.12

米国のほぼ全土で、インフルエンザが流行している。米疾病管理予防センターが1月11日に伝えた。

現在、インフルエンザは 47州で流行しており、そのうちの 29州では、危機的状況だという。マサチューセッツ州ボストンのトーマス・メニーノ市長は、「保健分野における緊急事態だ」と伝えた。

インフルエンザの流行が確認されていないのは、カリフォルニア州、ミシシッピ州、ハワイ州のみ。専門家らは、米国では今年、インフルエンザが猛威を振るうと予測している。病院は、大勢の患者が来院しており、待ち時間が非常に長くなっていると伝えている。



最近はオバマ大統領も自ら、ワクチンを打つ姿を公開していたりして、また、今年はインフルエンザの流行がもともと予測されていて、ワクチン接種を受けた人も多かったようなんですが、むしろひどいことになってしまっているようです。


obama-shot.jpg

▲ ワクチンを打つオバマ大統領。2009年。


今年は日本では流行の度合いがどうなのかまだよくわからないですし、私自身、インフルエンザワクチンというのを受けたことが基本的にないので、仮に流行した場合にどうするかというのかは何とも言えないですけれど、まあ、確かに今の世の中はいろんなことが起き続けていますので、健康や病気にもご留意下さい。

ちなみに、深刻なインフルエンザにかかってしまったら、過去記事の「ケロッグ博士の治療法」を本当にやってみようと思っています(笑)。でも本気ですけど。

Sponsored link


・ In Deep も» 人気ブログランキングに登録しました。よろしければクリックして下さると幸いです。