Firefox 本体の話ではありませんが、最近のセキュリティ情報をながめていて気になったので投稿します。
(専門のシステム管理者がいる法人では相応の対策が取られていると思いますが、脆弱性情報にふれる機会そのものが少ない一般の個人ユーザー向けってことで。)
Java のセキュリティ脆弱性が、Adobe Reader や Adobe Flash のそれと並んでよく狙われているのはよく知られたことですが、この 1 カ月ほどをみても、Java の脆弱性に関する情報(実際の攻撃含む)は多いです。
(一例)
・
「Java」最新記事一覧 - ITmedia Keywords
【注】名前は似ていますが、Java と JavaScript はまったく別のものです。
Firefox でも Java プラグインは利用されるので、Mozilla からも時宜に応じて次のような情報提供、注意喚起はなされていますが、英語であるため多くの日本人ユーザーには縁遠い話になっているようです。
・
Mozilla Security Blog
・
Java 7 Update Notification Now Live | Mozilla Add-ons Blog
Java 自体は、社内システムなどビジネスユースで利用される場面が多く、多くの個人ユーザーがよく利用する一般向けの Web サイトで使われることは少ないのですが、Java を利用した重要な Web サービスもあったりします。
攻撃も、どちらかというと特定の相手(法人)を狙った標的型攻撃が目立つ傾向にあるらしいですが、Java の脆弱性そのものは個人と法人を区別しません。
そしてここが一番気になるのですが、自分が使っているパソコンに JRE(Java Runtime Environment)が入っていることを知らず、ブラウザが自動的にそれをプラグインとして認識していて、Web を利用するときには Java プラグインがいつも有効になっている ―― ということを意識していない個人ユーザーはたくさんいそうです。(ぼくの周囲を見てもそうなのですが...。)
無自覚は無防備を生み、被害にあう確率と深刻さを増す ―― という構図はきわめてありがちなものです。
Mozilla でも、Java プラグインを
ブロックリスト に含めるなどの対応をおこなっているようですが、バージョンの定義が追いつかないことがあるかもしれません。
そんなわけで、Java プラグインを必須とする Web サービスを利用しているという明確な自覚のあるユーザー以外は、Java プラグインの有無を確認のうえ、もし入っていたら無効化しておくことをお勧めします。
Firefox ボタンの [アドオン] 、またはメニューバーから [ツール] -> [アドオン] で開く [アドオンマネージャ] の [プラグイン] パネルで、次の項目を確認してください。
・Java Deployment Toolkit (バージョン)
・Java(TM) Platform SE (バージョン)
最新バージョンの 7 U 7 / 6 U 35 はもちろん、それより下位のバージョンであればすべて無効化が望ましいです。
ただし、問題点を理解した上でなお、Java プラグインの使用を避けられないユーザーは、注意して最新バージョンをご利用ください。
また、[アドオンマネージャ] の [プラグイン] パネルの一番上にある [プラグインが最新バージョンであるか確認する] ボタンを押すと、プラグインチェックのページが開きます。
Java プラグインに限らず、ここで [最新です] と表示されたもの以外は、最新版にアップグレードするか、それができないならひとまず無効化することをお勧めしておきます。
よく言われるように、利便性と安全性は基本的にトレードオフの関係です。
安全性に気を使い過ぎて必要な利便性まで犠牲にするのは考えものですが、逆もまた適切な対応とはいえません。それぞれのユーザーの利用目的に応じて、どのように利便性と安全性のバランスをとるか、最終的にはご自身で判断してください。
最後にくり返しますが、この投稿記事は、"正確な技術情報の提供" ではなく "安全性についての注意喚起" を目的としています。
この投稿記事についての「間違いの訂正」「内容の補強」を歓迎します。
(補足)
関連して、最近出た次の記事を紹介しておきます。
安全性についての Mozilla の姿勢、Firefox の安全対策に関心のある方は読んでみてください。
・
【インタビュー】Firefoxの安全の仕組みとは? - Mozilla Japan 浅井智也氏に聞く
ログイン
ユーザー登録
FAQ
検索
