Facebookは、攻撃者がゼロデイ脆弱性を悪用した後に内部システムに侵入したことを明らかにした後、Javaの評判は再び打撃を受けました。
PCMag.comが昨日の午後遅くに報告したように、Facebookは1月にシステムが「高度な攻撃の標的にされた」と述べました。 Facebookの一部の従業員(おそらく開発者)は、サードパーティのモバイル開発者サイトを訪れた後、感染したと同社はFacebookのセキュリティサイトで述べています。 攻撃者は以前に開発者サイトを侵害し、Javaプラグインのセキュリティホールを悪用する悪意のあるコードを注入していました。 Facebookによると、ゼロデイ攻撃はJavaサンドボックスを迂回してマルウェアを被害者のコンピューターにインストールしたという。
Facebookはこの脆弱性をOracleに報告し、2月1日にパッチを適用しました。当時のOracleは、修正が2月19日に予定されていたが、実際に悪用されていたためリリースを加速したと述べました。 現時点で、このパッチで修正されたJavaランタイム環境のバグのうち39個(50個中)のうちどれがこのエクスプロイトで使用されたものかは明らかではありません。
Facebookは、ユーザーデータのいずれも攻撃で侵害されていないことをユーザーに保証しましたが、内部データが影響を受けたかどうかは示しませんでした。
その他の犠牲者のTwitter?
Facebookは、同じ攻撃を受けた他のいくつかの企業に通知し、連邦法執行機関に調査を引き渡しました。 会社は他の被害者を特定しませんでしたが、攻撃のタイミングはTwitterの侵害と一致します。 その攻撃でユーザー資格情報が公開されていました。 Facebookに対する攻撃の詳細の一部がわかったので、Javaブラウザプラグインを無効にすることに関するTwitterの不可解な警告は理にかなっています。
SecurityWatchが 以前に報告したように、Twitterの情報セキュリティディレクターであるBob Lordは、「米国国土安全保障省およびセキュリティの専門家からの勧告をエコーして、ユーザーがブラウザのコンピューターでJavaを無効にすることを奨励しています」と述べています。
AVではなくポイント
Facebookは、侵害されたラップトップは「パッチが完全に適用され、最新のウイルス対策ソフトウェアを実行している」と指摘しました。 一部のセキュリティ専門家は、アンチウイルスが「失敗した技術」であるという彼らの議論を繰り返し述べるために事実に飛びついた。 他の顧客が危険にさらされているかどうかを知るために、Facebookはアンチウイルスベンダーの名前を明らかにすべきだと言う人もいます。
ここで注目すべきストーリーは、アンチウイルスがJavaのエクスプロイトを検出すべきかどうかではなく、Facebookが攻撃を検出して阻止するために階層型防御をうまく使用したことです。 Facebookによると、同社のセキュリティチームはインフラストラクチャの攻撃を継続的に監視し、企業のDNSログで疑わしいドメインにフラグを立てています。 チームはそれを従業員のラップトップにまでさかのぼり、フォレンジック検査を行った後に悪意のあるファイルを見つけ、同じファイルで他のいくつかの侵害されたラップトップにフラグを立てました。
nCircleのセキュリティオペレーションディレクターであるAndrew Storms氏は SecurityWatchに 、「この攻撃への迅速な対応のためにFacebookに出かけ、芽を出しました」と語っています。
階層化されたセキュリティに加えて、Facebookは防御をテストし、インシデント対応者と連携するために、定期的にシミュレーションとドリルを実施しています。 Ars Technica は最近、セキュリティチームがゼロデイエクスプロイトとバックドアコードを扱っていると考えたFacebookでのこのような演習の興味深い説明を記録しました。 これらの種類のシミュレーションは、公共部門と民間部門の両方のいくつかの組織で使用されています。
Javaを取り除くのはそれほど簡単ではない
SecurityWatchが 今月初めに指摘したように、ブラウザでJavaを無効にするようユーザーにアドバイスするのは簡単ですが、多くのビジネスツールは依然としてブラウザのJavaプラグインに依存しています。 ブラウザでJavaを必要とする開発者ツールは知りませんが、他にも多くの主要なビジネスツールがあります。 先日、Chrome(Javaが無効)でWebExを動作させるのに問題があり、Internet Explorer(Javaが有効)に切り替えることを覚えておく必要がありました。
攻撃者は、卑劣で不正な正当なサイトを取得し、それらのサイトへの訪問者を攻撃しています。 ソフトウェアとオペレーティングシステムにパッチを適用し、最新のセキュリティソフトウェアを実行します。 できる限り攻撃対象を減らしますが、最も重要なことは、ネットワークで何が起こっているかを認識しておくことです。
