2019年1月、Java SE 8の無償サポートが終了しました。その後、サポートを受けないままJavaを使い続けていませんか？EOS（End of Support）を迎えた後は脆弱性が発見されてもそれに対抗することができず、大きなセキュリティホールとなります。そんな放置Javaの攻撃手法や脅威、その影響について改めて考えてみましょう。

あなたのJavaはアップデートされていますか

今まで、Javaといえば無償で使うことができ、その普及率の高さや技術者が多く開発がしやすいという利点から、多くのシステムで使われてきました。しかしながら、多くの企業が使っていた「Java SE 8（Java Platform, Standard Edition8）」の無償アップデート・リリースは2019年 1月に終了しました。今まで同様にアップデート・リリースを受けたい場合はオラクルから有償サポートを契約する必要があります。（その他の方法にて無償で使い続けることも可能ですが、これまで同様ではなくなり、何かしらの手間が必要になります。）

「アップデートは終了したけど、システムに不具合はないし、有償サポートを受けるまでもないかな」「オラクルの有償サポートっていくらするの？うわ、高い…」なんて思っていませんか？そのなんとなく使い続けているシステム、もしこのまま放置すればいつか大きな脅威となって襲いかかってくる可能性があるのです。

Javaのサポートとは？

まず、Javaの「サポート」とはどんな内容なのか整理しておきましょう。

・Javaのリリースサイクル

Javaのリリースサイクルは、半年に一度メジャーバージョンアップが行われます。これは、Javaの新機能追加のバージョンアップです。そのメジャーバージョンアップの間に2回、脆弱性やバグ対応などのアップデートが行われます。

＜画像出典：SlideShare「JDK: 新しいリリースモデル解説」＞

 

・サポート期間

オラクルはメジャーバージョンアップ後にそれより前のバージョンに対してのサポートを終了するとしています。つまり、１つのバージョンにつきサポート期間中は、半年間ということです。

この半年間の間は脆弱性・バグ対応のアップデートプログラムの提供を受けることができます。サポート期間が切れればこうしたプログラム提供が受けられなくなります。

＜画像出典：SlideShare「JDK: 新しいリリースモデル解説」＞

 

引き続きアップデートをしていくためには、新しいバージョンに入れ換えるか、有償サポートを契約しなければならないのです。Javaのシステムを使っている場合は、Javaの入れ替えをするにせよ有償サポートを購入するにせよ大きなコストがかかります。それでも、最新のアップデートを受けずに使い続ける先には、そのコストを超えるリスクが待っています。次の章ではリスクについて考えましょう。

 

最新にアップデートしないと危険な理由

サポート切れJavaを使い続けるリスクとは、いったいどのようなものなのでしょうか。

それは、アップデートされないプログラムは脆弱性対策ができず、ハッカーからの攻撃に対応することができないためなのです。脆弱性とは、プログラムの不具合や設計上のミスなどでプログラム自体に内在するセキュリティ欠陥のことを言います。こうした脆弱性を放置しておくと、ハッカーなど悪意のある者にシステムへの侵入を許してしまう可能性があります。

 

具体的な手口と被害の例

Javaの脆弱性をついた攻撃の手口として代表的なものは、Webを介したリクエスト（またはレスポンス）として不正なコードを送りつけ、その入力によって被害者の端末が操作されてしまうというものです。

図で見てみましょう。脆弱性を抱えたクライアント端末では、例えば不正なサイトに誘導されるなどしたとき、攻撃元のWebサイトからのレスポンスに隠され細工されたJavaのコード入力が行われてしまいます。

その結果、クライアントだけでなくサーバーも攻撃されることもあります。サーバー自体に攻撃者が悪意のあるコードを含むリクエストを送り付け、それによってサーバーに侵入されてしまうのです。

もし、こうした脆弱性をついて侵入されたら、以下のような被害に遭う可能性があります。

該当端末への被害

・その端末をウイルス感染させられてしまう
端末にマルウェアをインストールされてしまい、端末が使用不能になったり、ユーザーが意図しない動きをしたりするなどの被害に遭います。

被害額の例：端末の新規購入代金　30万円

 

該当端末から周囲へ広がる被害

・システムダウン
攻撃者からのコード入力・遠隔操作により、システムがダウンしてしまう可能性があります。自社システムのユーザーに不便を強いることになり、信頼を失うでしょう。社内システムであったとしても、業務が止まってしまいます。

被害額の例：6時間のダウンタイムによる損失　2000万円

・個人情報や企業秘密などの機密事項を盗み出される
企業で管理する大事なデータを盗み見されてしまう可能性があります。個人情報が盗まれれば、アカウントの乗っ取りやビジネスメール詐欺などの新たな詐欺行為に利用されてしまうことがあります。企業秘密が漏れたら事業での優位性を保てなくなり経営悪化につながるでしょう。もし他社の情報を盗まれた場合は賠償問題にもなります。近年増えている「サプライチェーン攻撃」といい、セキュリティの甘い中小企業への侵入が取引先大企業への攻撃の足掛かりに使われるケースも。影響の範囲も広く、会社としての被害は甚大です。

被害額の例：情報漏えいの対処コスト　4億3000万円

 

脆弱性は、その端末ひとつで済む話ではありません。そこから周囲へ被害が拡大し、影響範囲が広がってしまいます。そして特に企業にとって、情報漏えいが与える経営へのインパクトは計り知れません。企業イメージが落ち、場合によっては賠償や訴訟などにも発展してしまいます。2018年のIBM実施の「情報漏えいのコストに関する調査」によれば、情報漏えい一件あたりで企業が負担する総コストは平均386万ドル、日本円で4億3000万円になるとのことです。

さらに近年は情報漏えいを利用した攻撃が増加傾向で大企業でなくとも狙われることがあり、漏れた情報が使い回されて新たな犯罪が生まれることもあります。決して対岸の火事ではないのです。（参考記事：2018年「法人」を狙うセキュリティ三大脅威にみる今後の対策）

 

もちろん、こうしたリスクはJavaだけに限ったことではありません。しかしながら、Javaはその高い普及率から悪意ある者に狙われやすいのです。そして、悪意のあるハッカーは現存するプログラムを研究してそうした欠陥を探し続けているため、今日時点で安全なソフトウェアでも明日安全かどうかはわからないのです。

だからこそ、常に最新の脅威への対策をプログラムに取り込むことが、こうしたリスクへの対策となるのです。

 

サポート終了後も放置しないで！

では、今後も最新のアップデートを受け続けるためにはどうしたら良いのでしょうか。もちろん、オラクルの有償サポートを受けるのも良いですが、その費用は多額になる恐れもあります。回避策としてはIBMやRedHatなど他企業がサポートを提供するOpen JDKを使うなどそれ以外の選択肢もあります。（参考記事：アップデート終了でどうなる、Java有償化問題）しかしながら、これまで通りというわけにもいかず、何かしらの新たな取り組みが必要になります。

「お金もないし、手間もかけられない」からとはいえ、もしも、アップデートをせずにこれを放置してしまうことは大きな企業リスクをはらんでしまいます。もし、あなたの会社でそんなことが起きているのであれば、情シスは大至急、予算確保に取り組まなければなりません。先に述べたように脆弱性を放置するリスクはとても大きく、情報漏洩など起こしてしまっては取り返しがつきません。取引先企業や社会からの信頼はプライスレスなのです。

■小規模タスクから対応可能です。

【執筆：編集Gp　星野 美緒】

---

https://josysnavi.jp/josys-bk_java%e6%9c%89%e5%84%9f%e5%8c%96%e5%95%8f%e9%a1%8c_181130

https://josysnavi.jp/josys-bk-now_type-of-java_190311