パスワードを忘れた? アカウント作成
7583268 story
Java

Apple、Javaプラグインの脆弱性を狙った攻撃を受ける。社内コンピュータの一部がマルウェアに感染 57

ストーリー by hylom
Macだから安全とか言っていたのは誰だ 部門より
あるAnonymous Coward 曰く、

Appleがサイバー攻撃を受け、社内の一部コンピュータがマルウェアに感染したと発表した(GIZMODO)。

社外への情報流出は現在認められていないとのこと。Facebookも最近ハッカー集団に攻撃を受けているが、それと同じものだという。

また、あるAnonymous Coward 曰く、

東京新聞によると、Macを使用する企業数百社が同様の被害を受けている可能性があるという。もう「Mac = 安全」なんてどう贔屓目に見ても無理ですよねぇ……

なお、これらの攻撃はiOS開発者に向けた情報を提供するWebサイト「iPhoneDevSDK」に仕込まれたスクリプトが発端だった模様。あるAnonymous Coward 曰く、

大手iPhoneアプリ開発者向けコミュニティiPhoneDevSDKに、ゼロデイ脆弱性を突く未知の攻撃コードが仕掛けられていたとのこと(本家/.CNETの記事)。iPhoneDevSDKの管理者は同サイトに攻撃コードが仕込まれていたことについて認め、これが発端でAppleやFacebookへの攻撃につながった模様。

なお、この攻撃についてERIC ROMANG BLOGによって巧妙なテクニックの解説が行われている。Javaを有効にしたWebブラウザでiPhoneDevSDKにアクセスした人はマルウェアに感染している恐れがあるので、心当たりがある人はチェックが必要かもしれない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そうか、わかったぞ (スコア:5, おもしろおかしい)

    by hahahash (41409) on 2013年02月21日 18時30分 (#2330067) 日記

    ブラウザのJava、すなわちアプレット、これを英語で書くとappletとなる。
    ここから、時間(T)の経過を示すために、tを取り除く。

    applet - t = Apple

    つまり、ブラウザで動作するJavaが実装された時に、
    既にこの事件は予言されていたんだよ!

    つまり、人類は滅亡する!!

  • by G-UNIT (36410) on 2013年02月21日 19時56分 (#2330121)

    Mac=安全とは言いませんけど、
    この脆弱性はJavaプラグインの問題であって、Macの安全性は関係ないですよね

    • by Anonymous Coward on 2013年02月21日 21時17分 (#2330194)
      脆弱性と安全性(危険性)をごっちゃにしてはいけない。

      WindowsにもMacにも、脆弱性を突くわけではないマルウエアは存在する。ただ、Windows向けのものが多く、それらはMacで実行できない。でもその事実が「Windowsの安全性とは関係ない」と言いきれる?
      親コメント
    • by Anonymous Coward

      そのJavaプラグインを配布しているのは、そのアップル [apple.com]なんだけどね。
      さすがにOracleも切れて「お前には任せらせん」ということで、Java7からはOracleが配布 [java.com]するように変更されたんだよ。

      • by Anonymous Coward

        >「お前には任せらせん」
        そうだったんだ。
        てっきりAppleが愛想尽かして、Javaをアンインストールしたのかと思ってた。
        http://www.itmedia.co.jp/enterprise/articles/1210/19/news043.html [itmedia.co.jp]

      • by Anonymous Coward

        たしかLionからはJavaはプリインストールされなくなったけどね。
        初めてJavaアプリを起動する時に「インストールするか?」って聞いてきて初めてインストールすることになる。
        最近は、デフォルトでウェブブラウザのJavaプラグインを排除するようになったような。

        Javaはあってもいいけど、ウェブブラウザのJavaプラグインはいらんわ。リスク以外の何者でもない。
        ブラウザ上でJava使ってる人って、全体の0.何%だ?

        • by Anonymous Coward

          しかもJavaプラグインはOracleが直接配布するようになったんじゃなかったっけ?

      • by Anonymous Coward

        え?AppleがSunには任せられんってことで自社で出してたんですよ。
        UI周りをOSXと同じようにしたいApple(というかJobs?)としては自社で手を入れざるを得なかったんだと思います。
        GoslingもSunから出したいって何度か言ったけど断られてたみたいだし。(ソース失念)
        だから、JavaSE6まではAppleが出してた。

        その後、JavaをOSXにデフォルトバンドルしない方針に
        Appleが舵を切ったのでOracleが出すハメになった。
        タイミングとしては、SunがOracleに買収された後でZFS採用を止めたのと同じ頃だから
        AppleがOracleというリスクを回避したんだと思ってます。

    • by Anonymous Coward

      ひどい信者脳を見た。

      • by Anonymous Coward

        ただしWindowsのクラッシュはデバイスドライバのせいでMSは一切悪くないんですねわかりますん

    • by Anonymous Coward

      きっとAppleのJava離れが加速しますね。

  • 元々安全じゃない (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2013年02月21日 20時01分 (#2330123)

    数年前から既にWindowsよりMacの方が脆弱性が多い。
    http://japan.zdnet.com/security/sp_07zeroday/20363926/ [zdnet.com]

    • by Anonymous Coward on 2013年02月21日 21時54分 (#2330218)

      少なくても日本法人で言う限りマイクロソフトは毎月セキュリティアップデートを提供し(知る限り定期でパッチなしは1-2回ぐらいw)、説明会もやってるけど、アドビやオラクル、アップルがそういう説明会を開いていると聞いたことなし。

      ゲイツのTWCの考えは10年後も生きているけど、ぶっちゃけ他社がそこまでリソースを投入しているとは思えない。

      ※でもマイクロソフト製品が安全とは言えないけどねぇw

      親コメント
  • ゲハじゃ無いんだし、編集者も自重しろよ。
  • by Anonymous Coward on 2013年02月22日 1時25分 (#2330346)

    アップデートの必要もない!
    すっきり!

    • by Anonymous Coward

      ずいぶん前からJavaもFlashもAdobe Readerもインストールしてない。
      三大ブラウザはどれもサイレントアップデートするようになって久しいしマジ管理が楽になった

  • by Anonymous Coward on 2013年02月21日 18時50分 (#2330086)

    誰かeromangの解説を10行以内で簡潔に説明して

    • Re:英語チカチカ (スコア:5, 参考になる)

      by Anonymous Coward on 2013年02月21日 23時43分 (#2330294)

      ・誤訳が恥ずかしいからACで行くよ
      ・min.liveanalytics.org っていう、2012/12/8に匿名で立てられたドメインがマルウェアを配布するためのものだったみたいよ
      ・www.iphonedevsdk.com に、min.liveanalytics.org を見に行くJavaScriptが埋め込まれてたことが確認できるよ(WayBack Machine の記録、2013/1/15)
      ・2013/1/22,23に実際にそのJavaScript、および(0dayの?)Javaコードが走ってた形跡が urlQuery とか JSUNPACK から見つかったよ
      ・JavaScriptは日付の他、ブラウザのプラグイン情報(種類、バージョン)を min.liveanalytics.org に送信してたよ
      ・2013/1/13に Java SE 7 Update 11 が出たんだけど、この時点でセキュリティレベルをデフォルトのMediumからHighに上げていれば、署名なしのアプレットやJava Web Startアプリ実行前に確認が出るから攻撃に気づけたはずだよ
      ・2013/2/1の Java SE 7 Update 13 であれば強制的にHighだから気づけたんだろうけど min.liveanalytics.org は2013/1/24には止まってたみたいだよ
      ・これが狙った攻撃とは思わないな、だってTwitter(※)やFacebookやAppleみたいなまともな会社の人はブラウザのJavaなんて切ってるよね?
      (・というか、このblog 巧妙なテクニックなんて解説して無くね?)
      ・追記で、F-Secureが公開した攻撃ドメインを調べると、Fedoraforum.org にそこへ行くスクリプトが2012年7月くらいに埋められてたみたいだけど。。。どうすんだよこれ

      Twitterにサイバー攻撃、25万件のアカウント情報に不正アクセス [srad.jp]の件。2013/2/1に発表ということで攻撃を食らったのは同じ1月下旬、同じJavaがらみと考えられる。

      親コメント
      • ・追記で、F-Secureが公開した攻撃ドメインを調べると、Fedoraforum.org にそこへ行くスクリプトが2012年7月くらいに埋められてたみたいだけど。。。どうすんだよこれ

        ほんとですね。どうすんだこれ。
        今回の件は Mac/Apple がどうこうというよりも、上流 (開発者) から攻める手法にニュースバリューがあるように思います。
        例えば sourceforge に毒が入ってたら、みんな困ると思うんです。そういう話ですよね。
        署名で防げるのは、上流が汚染されていない場合だけです。
        下流で対処する方法って、あるんでしょうか。

        親コメント
      • by Anonymous Coward

        ありがとう

  • by Anonymous Coward on 2013年02月21日 18時52分 (#2330088)

    >> 「Mac = 安全」なんてどう贔屓目に見ても無理ですよねぇ……

    安全というわけではなく、今までは市場シェアの関係で攻撃のターゲットにされる確率が低かったということでしょう
    #今ならDOSは安全です!??? みんなWebBoyを使おう!

    • by lamvision (16580) on 2013年02月21日 19時14分 (#2330102)

      あれ?
      ラーメンズがドヤ顔でCMしてましたよ?
      その時にそんな説明はありませんでしたが。

      親コメント
    • Re: (スコア:0, フレームのもと)

      by Anonymous Coward

      そんなのわかりきったこと。Apple自らが安全神話をねつ造して売ってきたのが問題だろ。詐欺行為。

    • by Anonymous Coward

      訓練されたアップル信者は、宣伝文句のフィルタリングが完璧なので踊らされません。
      だから過激な宣伝を打っても一定以上の売り上げは常に確保される。
      アップルはそれが分かっているから、バンバン嘘つきますよ。

  • by Anonymous Coward on 2013年02月21日 20時13分 (#2330131)

    Appleに都合の悪いストーリーは伸びないよね。
    露骨過ぎて逆に目立ってると思うんだけど。
    こっそりとしておきたいなら、適度に無難なコメントをつけたほうがいいのでは? > 信者さん

    • by Anonymous Coward

      OS9信者の俺、勝ち組!

      • by Anonymous Coward

        たまにはOS-9のことも思い出してあげて下さい。
        #お約束

        • by Anonymous Coward

          OSから9を引くより2で割る派

    • by Anonymous Coward
      タレコミからすぐに採用されたし、編集さんが直後に無関係なストーリーを大量採用して目立たない
      ように画策しないだけ、昔よりマシです。
      • by Anonymous Coward

        これがマイクロソフトネタだと、金曜日の最後とかに掲載されるんだろうな。

  • Apple がどうこういうより,そちらに驚いた.
    ブラウザで Java って,良い事無さそうだから必要がないときは切ったままの人が多いのかと思ってたが…

    # それとも,SDK を配布しているそのサイトで Java が必要なのかな?

    • by Anonymous Coward

      デフォルトでONじゃない?
      そもそもJavaが何か知ってる人は、世の中のネットユーザーの10%未満だと思うよ。
      だから、ON OFFの意味も必要性もわかってないはず。危険性もね。

      まぁでも、優秀なエンジニアがたくさんいるApple社内でJava有効で使ってる人がいるとはね。
      非技術系な人だったのかな。さすがに社員が何千人とかいれば、知識のない人もいるか。

    • by Anonymous Coward

      ブラウザ単体で無効にできないことに気づかぬ人もいるのでは?
      http://www.atmarkit.co.jp/ait/articles/1301/18/news092.html#iexplorer [atmarkit.co.jp]

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...