Java（JRE）が原因でウイルス強制感染！ Java Update無効停止は危険

＝ Java脆弱性トピックス2013 ＝

【3月5日】
バージョン７系「Version 7 Update 17」（1.7.0_17）とバージョン６系「Version 6 Update 43」（1.6.0_43）が定例外で緊急リリースされました。ゼロデイ攻撃になっていたものを含め2件の深刻な脆弱性の修正となってます。

Javaが必要なユーザーさんはウイルス対策として更新作業が必須です。そもそもJavaが不要であればパソコンから削除するのもウイルス対策になります。

バージョン７系	Update 1 ～ 7	旧バージョンなので危険
	Update 9 ～ 10	本来は安全であるべきなのに脆弱性が見つかり危険
	Update 11	~~1月14日に緊急リリースされ安全~~ ⇒ 旧バージョンなので危険
	Update 13	~~2月2日に緊急リリースされ安全~~ ⇒ 旧バージョンなので危険
	Update 15	~~2月20日にリリースされ安全~~ ⇒ 未知の脆弱性を悪用する攻撃
	Update 17	3月5日に緊急リリースされ安全
バージョン６系	Update 1 ～ 35	旧バージョンなので危険
	Update 37 ～ 38	~~現時点では安全~~ ⇒ 旧バージョンなので危険
	Update 39	~~2月2日に緊急リリースされ安全~~ ⇒ 旧バージョンなので危険
	Update 41	~~2月20日にリリースされ安全~~ ⇒ 未知の脆弱性を悪用する攻撃
	Update 43	3月5日に緊急リリースされ安全

※ Update番号が飛んでるのはナゼ？ ⇒ 奇数＝セキュリティの修正を含む更新、偶数＝含まない更新、という決まりから.

【3月2日】
Javaの最新版である「Version 7 Update 15」「Version 6 Update 41」でも影響がある未知の脆弱性（CVE-2013-1493）を悪用したウイルス感染攻撃が報告されました。

YAJ0: Yet Another Java Zero-Day （FireEye）
Latest Java Zero-Day Shares Connections with Bit9 Security Incident （シマンテック）

修正されるまでの対処方法として、ブラウザのJavaを無効化する、無効にできないならブラウザを複数併用してJavaを無効化したブラウザでネットサーフィンする、といった感じになります。

【2月20日】
5件の脆弱性の修正を行ったバージョン７系「Version 7 Update 15」（1.7.0_15）とバージョン６系「Version 6 Update 41」（1.6.0_41）がリリースされました。

【2月2日】
さらなる50件の脆弱性の修正を行ったバージョン７系「Version 7 Update 13」（1.7.0_13）とバージョン６系「Version 6 Update 39」（1.6.0_39）が緊急リリースされました。2月19日に定例リリースする予定のものを前倒ししたようです。

【1月14日】
バージョン７系の脆弱性の修正を行った最新版「Version 7 Update 11」（1.7.0_11）が14日に緊急リリースされました。

変更点は、ウイルス感染攻撃に悪用され問題となっていた深刻な脆弱性（CVE-2013-0422）と、もう一つ別の脆弱性（CVE-2012-3174）の計２件の解消となってます。

【1月12日】
Javaのバージョン７系に最新版でも解決できてない欠陥（脆弱性）が見つかり、Windowsパソコンをターゲットに偽セキュリティソフト、スパイウェア、トロイの木馬などを強制的に感染させる手段として悪用され始めてます。

Java（読み方：ジャバ）は、米国のサン・マイクロシステムズ（Sun Microsystems, inc.）が開発した無料ソフトです。「Java VM」「Java実行環境」「Java仮想マシン」「JRE」（「Java Runtime Environment」の略）なんて呼ばれる場合もあります。

現在は買収によって米国のオラクル（Oracle America, inc.）から提供されてます。

Java公式サイト - ドライブバイ・ダウンロードによるウイルス感染攻撃で悪用されまくる
オラクルが運営してるJavaの公式サイト java.com

Javaと聞いて、ピンとこない人がいるかもしれませんが、Windowsパソコンを購入した時点で最初からインストールされてる場合もあります。

Javaが必要なサービスやソフトには、たとえば下のようなものがあります。※マークは、ブラウザのJavaを無効化した場合に動かなくなるものです。

電子申請／電子入札システム ※
株価／ＦＸ為替チャートの一部 ※
ライブカメラ配信サイトの一部 ※
Minecraft マインクラフト ※
将棋倶楽部24 ※
Radish Network Speed Testing ※
MyJVNバージョンチェッカ ※
お絵描き掲示板／お絵描きチャットの一部 ※
JDrafter
Live2D
デスクトップマスコットしめじ
V2C
PDF Split and Merge

OpenOffice の一部機能（Javaなしでも利用可）
LibreOffice の一部機能（〃）
FreeMind
さっとん Chat&Messenger
Eclipse
ドット絵ナニカ
CosmicAI
Gramadillon
さきゅばす
TwitterBackup
DeskNotifier
JDownloader
FreeRapid Downloader

必要な場面はものすごく限定されてるので、Javaが導入されてはいるものの使う場面がサッパリないユーザーもいます。

《ベストプラクティス》脆弱性が見つかった危険なJava！必要なら最新版を導入し無効化？ウイルス対策としてアンインストール削除もOK！
無料Javaとウイルス対策のベストプラクティス (*´ω｀*)b＜ﾊｲ、ここﾃｽﾄに出まーす♪

Java と JavaScript はまったくの別モノ！混同注意！

名前が似てることから、よく混同されるのがJavaScript（Javaスクリプト）です。JavaScriptはブラウザ（Internet Explorer、Mozilla Firefox、Google Chrome、Opera）そのものに内蔵されてる１機能です。

「Java」と「JavaScript」は名前が似てるけれどまったく別モノ！危険な脆弱性うんぬんで話題になるのは「Java」！

単体ソフトであるJavaと、ブラウザのJavaScriptはまったく別モノなので注意してください。それこそ、「メロン」「メロンパン」、「インド」「インドネシア」、「中国」「中国地方」を同一に扱うようなものです！（＾ー^）b

『Javaってけっこう色んなサイトで使われてるんでは？ (´q｀)』と思う人は、間違いなくJavaScriptと混同してます。

サイトで使われてる頻度は、W3Techsの統計によると、JavaScriptが90％以上であるのに対して、Javaは1％を切るゼロコンマとなってます。仮にもJavaScriptの方を無効化したら、インターネットの閲覧で支障が出まくるだけです。

Javaの旧バージョンは超危険！ウイルス感染させ放題の爆弾！

Javaには危険な欠陥（専門用語で「脆弱性：ぜいじゃくせい」）がよく見つかっていて、Windowsパソコンをターゲットにトロイの木馬、ルートキット、偽セキュリティソフト、偽パソコン診断ソフト、スパイウェア、ランサムウェアなどを感染させる攻撃で悪用されまくってます。

～コンピュータウイルス感染経路輝くＮｏ.１～

Java 旧バージョン ⇒ 危険物・爆弾・猛毒

Javaの開発元は悪用される欠陥を直した最新版を提供してるので、これを適用しとけば問題は起こらんですが、困ったことに旧バージョンのまま更新しないで放置するダメダメなWindowsユーザーさんがいるんです。 (つд⊂)

＝ ウイルス強制感染の経路となった原因ソフトの割合 ＝
全体の約９割が Java か Adobe の更新放置がきっかけで地獄逝きに・・・ (゜o゜;＜Java超ヤバすぎ！
【2011年下半期】 Windows Update だけでは意味なし！ナンと９割近くが「Java」（JRE）か「Adobe Reader」を更新せず古いバージョンのまま放置することで感染経路となりウイルス被害原因 . 【2012年上半期】 Windows Update だけでは意味なし！「Java」（JRE）の旧バージョンがより超強力な感染経路となりウイルス被害原因
IBM Tokyo SOCによる2011年下半期（左）と2012年上半期（右）の統計データを元に作成

WindowsパソコンにインストールされてるJavaを旧バージョンのまま放置するということは、ウイルス攻撃者から何をされようが構わないと素っ裸宣言してることになります。それはこのような対策ソフトでWindowsパソコンを護っていたとしても、問答無用でウイルスを強制的にインストールさせられるリスクです。

Windowsのウイルス感染、主因はJavaやAdobe製品の更新忘れ（ITmedia、2011年）
いつの間にか感染、対策ソフトも未検知脆弱性悪用ウイルスに注意（ITPro、2012年）
更新が進まないプログラムトップ3はJava、Flash、Adobe Reader （ITmedia、2013年）
Java最新版ユーザーはたったの5％、大多数が旧バージョンを使用（ITmedia、2013年）

Javaを最新版に維持し続ける、あるいはWindowsパソコンからJavaを綺麗さっぱり削除アンインストールするのも有効なウイルス対策になります。削除しちゃえば、もう更新作業をいちいち行う必要がなくなりますゾ。

【ウイルス強制感染を回避するための運命の二択】

ウイルス感染攻撃に悪用できないよう Java を最新バージョンに維持し続ける

どっちか選んで！
(・∀・)

ウイルス感染攻撃に悪用できないよう Java をパソコンから削除アンインストールしてしまう

★ 更新通知プログラム「Java Update」は必要？安易な無効停止は危険！

Javaの更新を促してくる「Java Update」「Java Auto Updater」ウィンドウが”邪魔でウザイ”という理由で、たとえば「Java Update 無効」「Java Update 停止」というキーワードで検索すると、やり方を解説してるページがヒットします。

ただ、これをやることによるリスクについてサッパリ触れてないところもあって、それこそ『ウイルス感染しやすくなる環境作り』を提案しちゃってる状態です。 (・_・;)

切ったら切ったで手動での更新作業を徹底しないとヤバイです。更新する気がないなら、危険なJavaなんてとっとと捨てちゃいなさいっ！ m9( ﾟдﾟ)

★ スマートフォン（iPhone、Android）、携帯電話/ガラケー、タブレット（iPad、Nexus 7、Kindle）、ゲーム機は？

Javaの脆弱性の影響範囲は、Windows、Mac OS X、Linuxの３環境だけです。たとえばiOSやAndroidといった環境はまったく無関係です。

Java（JRE）のダウンロード・インストール・アップデート

Javaはフリーソフトで、公式サイトから無料でダウンロードできます。

Java が不要なら削除するのもウイルス対策になります！

ダウンロードページの[同意して無料ダウンロードを開始]ボタンを押すと、最新版インストーラファイルがダウンロードされインストール・アップデート作業を行えます。

★ 公式サイトのダウンロードページで最新バージョンをゲット！

バージョン７系の利用が推奨されてますが、動作対象外だったり動作に問題が起こるJavaアプレットやJavaアプリケーションがあるので、１世代前のバージョン６系の最新版もいちおう提供されてます。

Windows オンライン
→ Java本体をネット経由でダウンロードしてきてインストールする通常タイプ
Windows オフライン
→ Java本体がインストーラにすべてパックされてるタイプ（↑がうまく動かずインストール・アップデートに失敗する人用）

バージョン７系

Version 7 Update **
（1.7.0_**）

バージョン６系

Version 6 Update **
（1.6.0_**）

☆ Javaコントロール・パネルから更新作業を行うと・・・？

アップデート更新に失敗してしまう
Windowsのコントロールパネルから、Javaコントロール・パネルを開くJavaアイコンが消滅してしまう
C:\Program Files\Java\jre{数値}\bin\javacpl.exe ← Javaコントロール・パネルの実行ファイル

という現象が発生する場合があります。ちなみに、64ビット版Javaには[更新]タブが用意されてません。

インストールされてるJavaのバージョンを確認する《Windowsパソコン》

Windows向けの無料バージョン確認ツールで判定してもらう？

MyJVNバージョンチェッカ（Java必要）
FileHippo.com Update Checker （Java不要）

手動でバージョンを確認する？

【Java/JREのバージョン確認】 WindowsのコントロールパネルからJavaコントロール・パネルを開いてバージョン情報ダイアログを表示する
バージョン●の更新● （ビルド1.●.0_● ～）

Windowsのコントロールパネルを開いて、Javaのアイコンをクリックする
（Windows Vista/7/8はコントロールパネル右上にある検索ボックスから素早く見つけることも可能）
Javaコントロール・パネルが表示されるので、[一般]タブ→「バージョン情報」の項目にある[バージョン情報]ボタンを押す

あるいは、

【Java/JREのバージョン確認】 WindowsのDOSコマンドプロンプトで「java -version」パラメータを打ち込んでバージョン情報を出力する

Windowsのスタートメニュー→[すべてのプログラム]→[アクセサリ]→[コマンドプロンプト]をクリックする
黒い画面で半角文字「java -version」と打ち込んでエンターキーを押す
（もしJavaがインストールされてない場合は、コマンドとして認識されていないと表示されます）

Javaを削除アンインストールする《Windowsパソコン》

Java（JRE）は、Windowsのコントロールパネルにある「プログラムの追加と削除」（Windows XP）、「プログラムと機能」（Windows Vista/7）から削除できます。ブラウザを起動してない状態で作業してください。

ちなみに、Javaの最新版をインストールしても、旧バージョンが削除されず複数のバージョンが残存してるパターンがよくあります。旧バージョンはハードディスクの容量をムダに食ってるだけなので残ってないか確認してください。

Javaの古いバージョン（2013年3月時点）
バージョン７系	「Java 7 Update 1」～「Java 7 Update 15」
バージョン６系	「Java 6 Update 2」～「Java 6 Update 41」「Java SE Runtime Environment 6 Update 1」
バージョン５系	《2009年サポート終了済み》「J2SE Runtime Environment 5.0 Update *」
バージョン４系（1.4）	《2008年サポート終了済み》「Java 2 Runtime Environment, SE v1.4._」
バージョン３系（1.3）	《2007年サポート終了済み》「Java 2 Runtime Environment Standard Edition v1.3._」

旧バージョンが残存しまくってる雰囲気はこんな感じ！
Java Runtime Environment（JRE）のバージョンを調べる（＠IT）
古いバージョンのJava Runtime Environmentはアンインストールしてもよい

これ以外に「JavaFX *.*.*」という項目があって、名前を聞いてもピンと来ないなら削除してOK！

☆ エラーが表示されJavaをアンインストールできない？

削除しようとすると、『このWindowsインストーラパッケージには問題があります。このインストールを完了するのに必要なDLLを実行できませんでした。サポート担当者またはパッケージのベンダに問い合わせてください』というエラーが表示される場合は、マイクロソフトのFix itを使うとうまくいくかもしれません。

ブラウザのJavaを無効化して悪用リスクを減らす《Windowsパソコン》

下のように思ってるユーザーはいませんかねぇ？（＾＾ゞ

『Internet Explorer以外のブラウザFirefox、Chrome、Operaをメインで使ってるから安全だよ～ん♪』

Java（JRE）はすべてのブラウザ上で動きます。つまり、ブラウザの種類関係なしにウイルス感染攻撃が可能なんです。

いちおうJavaを最新版に維持してれば問題ないですが、脆弱性の悪用頻度がとにかくべらぼうに高いので、利用する場面があまりないなら、更新作業を行った後にブラウザのJavaは切っとくとスゴイ安心です。 (*´∀｀)/＜保険として

WebブラウザでJavaを無効にするにはどうすればよいですか。（Javaヘルプ）
Java Web プラグインを無効にする方法 for Mac OS X （Appleサポート）

＝ ブラウザ上で動くJavaアプレットの機能を無効化する方法 ＝

★ すべてのブラウザをまとめて一括で無効化する

この設定はJavaがバージョン７系の最新版である必要があります。

Javaコントロール・パネルからブラウザInternet Explorer、Firefox、Chrome、OperaのJavaを一括ですべて無効にする「ブラウザでJavaコンテンツを有効にする」オプション

Windowsのコントロールパネルを開いて、Javaのアイコンをクリックする
（Windows Vista/7/8はコントロールパネル右上にある検索ボックスから素早く見つけることも可能）
Javaコントロール・パネルが表示されるので、[セキュリティ]タブをクリックする
上部の[ブラウザでJavaコンテンツを有効にする]というオプションからチェックマークを外す
ウィンドウ下にある[OK]ボタンや[適用]ボタンを押す
[Windows Vista/7/8] ユーザーアカウント制御ウィンドウの「ssvagent.exe」が表示されたら許可する

以下はブラウザごとに別々にJavaを無効化する方法です。Javaのバージョン６系は一括で無効にする方法がありません。

◆ Opera

ブラウザのアドレスバーに「opera:plugins」と入力して移動
プラグインの一覧から「Java(TM) Platform SE ～」、「Java Deployment Toolkit ～」（存在する場合）を無効
（無効にすると、項目が薄い灰色になって[有効にする]リンクが表示される）

◆ Google Chrome

ブラウザのアドレスバーに「about:plugins」と入力して移動
プラグインの一覧から「Java」、「Java Deployment Toolkit」（存在する場合）を無効
（無効にすると、項目が薄い灰色になって[有効にする]リンクが表示される）

◆ Mozilla Firefox

ブラウザのアドレスバーに「about:addons」と入力して移動
プラグインの一覧から「Java(TM) Platform SE ～」、「Java Deployment Toolkit ～」（存在する場合）を無効
（無効にすると、項目が薄い灰色になって[有効化]ボタンが表示される）

◆ Internet Explorer

ブラウザの「アドオンの管理」を開く（Internet Explorer 9/10、Internet Explorer 8）
ウィンドウ中央左らへんにある[表示:]リストから「すべてのアドオン」を選択
右側のアドオンの一覧で、発行元が「Oracle America, Inc.」または「Sun Microsystems, Inc.」となってる項目群（「Deployment Toolkit」「Java Plug-in *.*.*_*」「Java(tm) Plug-In SSV Helper」「Java(tm) Plug-In 2 SSV Helper」「Java SE Runtime Environment * Update *」「isInstalled Class」「Sun の Java コンソール」「jp2iexp.dll」など）をすべて無効

※ インターネットオプションの[セキュリティ]タブを選択し、[レベルのカスタマイズ]ボタンを押して「Javaアプレットのスクリプト」を変更するよう解説してるページがありますが、これはJavaを無効化する設定ではありません。

◆ Apple Safari
⇒ Windows向けSafariに関しては、Appleがブラウザそのものの開発をやめてしまったので使用中止の勧告が出てます。

Java を無効にしたブラウザで普段のネットサーフィンを・・・

こういうセキュリティソフトなんかと違って、ブラウザはInternet Explorer、Firefox、Chrome、Operaから自由に選んで併用できます。

Javaが必要なサービスやソフトが旧バージョンしか対応してなくて更新できない、あるいは最新版であっても対処できない未知の脆弱性を悪用するゼロデイ攻撃に備えたいなら、複数のブラウザを使い分ける方法があります。

Javaを無効化してあるブラウザ ⇒ メインブラウザとして普段のネットサーフィン用に使う
Javaを有効化してあるブラウザ ⇒ セカンドブラウザとしてJavaアプレットが必要なサービス限定でのみ起動する

Javaを有効にしたブラウザで、ところ構わずネットサーフィンしてしまうのは、困ったことにリスクになってしまうのが現状です。

Java（JRE）が原因でウイルス強制感染！ Java Update無効停止は危険

Java と JavaScript はまったくの別モノ！ 混同注意！

Javaの旧バージョンは超危険！ ウイルス感染させ放題の爆弾！