オラクル、古いJavaのユーザーに警告することで合意--FTCとの和解で

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部 2015年12月25日 07時12分

  • このエントリーをはてなブックマークに追加

UPDATE Oracleは米連邦取引委員会(FTC)との和解に基づき、Java SEの古いバージョンを実行しているユーザーに対して警告を発するよう命じられた。

 今回の合意により、Javaを更新すればコンピュータは「安全」になると述べてユーザーを欺いていたとするFTCが訴えていた件が決着した。ソフトウェアを更新すれば通常は保護されるはずだが、Oracleはユーザーに対して、Java SEの複数のバージョンがインストールされる場合に古いバージョンがコンピュータ上に残ることを通知していなかった。この古いソフトウェアが、ハッカーらにとって格好の標的となっていた。

 Oracleは2010年のSun Microsystems買収に伴い、数十億台もの機器と約8億5000万台ものPCにインストールされているランタイムであるJavaを手に入れた。Javaは、配布範囲が広く、機器をハッカーやエクスプロイトキットの攻撃にさらすバグが次々と現れることから、ハッカーらに狙われるケースが多くなっていた。

 各種セキュリティ企業はかなり以前から、古いJavaソフトウェアがあると、企業や一般ユーザーのシステムが攻撃に対して脆弱になると警告してきた。Javaのゼロデイ脆弱性が発見されたことで、ブラウザにおいてJavaを無効にするように米政府が警告を発したこともあった。AppleとFacebookの従業員を標的とした2013年の国家支援による攻撃も、Javaのゼロデイ脆弱性を利用したものだった。

 FTCは、Oracleとの和解を発表し、アップデート時にJavaをアンインストールするための不完全な処理をOracleは2014年8月まで修正しなかったと述べた。また、アップデート処理に不具合があることをOracleが2011年の時点で認識していたことも指摘した。

 「Oracleは、古いバージョンにはセキュリティ上の問題があるため削除する必要があることを同社ウェブサイトで通知していたが、アップデート処理でJava SEのすべての古いバージョンが自動的に削除されないことを説明していなかった。アップデート処理は2014年8月まで、インストールされているJava SEの最新バージョンだけを削除していた」とFTCは述べた。

 Oracleは現在、「Java SEアップデート処理において、同ソフトウェアの古いバージョンがコンピュータ上に存在する場合に、古いバージョンを残すことのリスクを消費者に通知し、アンインストールする選択肢を与える」ことを命じられている。

 また同社は、同社ウェブサイトとソーシャルメディアを通して、今回の合意内容を公表することも求められる。

 今回の合意に基づき、Oracleは合意から10日以内にTwitterとFacebook上に、「IMPORTANT INFORMATION REGARDING THE SECURITY OF JAVA SE」(JAVA SEのセキュリティに関する重要な情報)というメッセージと、FTCに訴えられた理由を説明する書簡へのリンクを投稿する必要がある。

 またOracleのメッセージがユーザーに届かない場合に備えて、FTCは独自のJava警告キャンペーンを実施する。まずは、「What's worse than stale coffee? Stale Java」(古いコーヒーよりもまずいものは何か。古いJavaだ)と題したブログで、Oracleがユーザーに与えていたリスクを専門用語を使わずに説明する。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]