今後Javaについての対応変わるかもしれません。

Javaといえば、エンタープライズ分野での利用が多い言語でありながらセキュリティホールのアナウンスが多い製品でもありました。

また、古いバージョンと新しいバージョンでの互換性や依存関係の問題で、アップデートに躊躇するケースもありました。そんあ古いバージョンのJavaに対する方針が変わりそうです。

Oracleは米連邦取引委員会(FTC)との和解に基づき、Java SEの古いバージョンを実行しているユーザーに対して警告を発するよう命じられた。

今回の合意により、Javaを更新すればコンピュータは「安全」になると述べてユーザーを欺いていたとするFTCが訴えていた件が決着した。ソフトウェアを更新すれば通常は保護されるはずだが、Oracleはユーザーに対して、Java SEの複数のバージョンがインストールされる場合に古いバージョンがコンピュータ上に残ることを通知していなかった。この古いソフトウェアが、ハッカーらにとって格好の標的となっていた。

Oracleは2010年のSun Microsystems買収に伴い、数十億台もの機器と約8億5000万台ものPCにインストールされているランタイムであるJavaを手に入れた。Javaは、配布範囲が広く、機器をハッカーやエクスプロイトキットの攻撃にさらすバグが次々と現れることから、ハッカーらに狙われるケースが多くなっていた。

何の機能もないスマホ型プラスチック板「NoPhone」--スマホを片時も手放せない人に
何の機能もないスマホ型プラスチック板「NoPhone」–スマホを片時も手放せない人に

各種セキュリティ企業はかなり以前から、古いJavaソフトウェアがあると、企業や一般ユーザーのシステムが攻撃に対して脆弱になると警告してきた。Javaのゼロデイ脆弱性が発見されたことで、ブラウザにおいてJavaを無効にするように米政府が警告を発したこともあった。AppleとFacebookの従業員を標的とした2013年の国家支援による攻撃も、Javaのゼロデイ脆弱性を利用したものだった。

FTCは、Oracleとの和解を発表し、アップデート時にJavaをアンインストールするための不完全な処理をOracleは2014年8月まで修正しなかったと述べた。また、アップデート処理に不具合があることをOracleが2011年の時点で認識していたことも指摘した。

「Oracleは、古いバージョンにはセキュリティ上の問題があるため削除する必要があることを同社ウェブサイトで通知していたが、アップデート処理でJava SEのすべての古いバージョンが自動的に削除されないことを説明していなかった。アップデート処理は2014年8月まで、インストールされているJava SEの最新バージョンだけを削除していた」とFTCは述べた。

Oracleは現在、「Java SEアップデート処理において、同ソフトウェアの古いバージョンがコンピュータ上に存在する場合に、古いバージョンを残すことのリスクを消費者に通知し、アンインストールする選択肢を与える」ことを命じられている。

また同社は、同社ウェブサイトとソーシャルメディアを通して、今回の合意内容を公表することも求められる。

今回の合意に基づき、Oracleは合意から10日以内にTwitterとFacebook上に、「IMPORTANT INFORMATION REGARDING THE SECURITY OF JAVA SE」(JAVA SEのセキュリティに関する重要な情報)というメッセージと、FTCに訴えられた理由を説明する書簡へのリンクを投稿する必要がある。

またOracleのメッセージがユーザーに届かない場合に備えて、FTCは独自のJava警告キャンペーンを実施する。まずは、「What’s worse than stale coffee? Stale Java」(古いコーヒーよりもまずいものは何か。古いJavaだ)と題したブログで、Oracleがユーザーに与えていたリスクを専門用語を使わずに説明する。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です