かつてJavaはWebの重要な部分を占めていましたが、ここ数年その人気は低下しています。最近のブラウザは、デフォルトでJavaをブロックしており、ほとんどのホームユーザーは、もはやJavaをインストールする必要はありません。

Javaはデスクトップコンピュータ、特にWindowsにおいて最も安全でないソフトウェアであると言われて久しい。しかし、今でもそうなのでしょうか？もっと深く見てみましょう。

ジャワ歴問題

Javaがこれほどまでに攻撃の対象となった最大の理由は、その幅の広さにある。Javaは互換性を最大限に高めるように設計されているため、多くのデバイスで動作させることができます。Javaはパソコンだけでなく、ブルーレイプレイヤー、プリンター、駐車場の精算システム、抽選器など、さまざまなものに対応しています。暗号化されたセキュリティとは正反対で、主要なプラットフォームは攻撃のための最高の報酬を提供します。

もちろん、デスクトップ上のJavaにも配慮している。ここでは、Javaが自動的にアップデートされないことが最大の欠点である。他の多くの最新プログラムと異なり、Javaはアップデートが利用可能になると、ユーザーにインストールするよう求めるだけです。さらに悪いことに、デフォルトでは、Javaは週に1回、あるいは月に1回しかアップデートをチェックしない。セキュリティ上の脆弱性が多いアプリケーションにとって、これは危険なことです。

多くの人が更新のプロンプトを見て無視し、古いバージョンのJavaを実行する原因となっています。また、定期的に新しいバージョンが提供されるため、ある程度アップデートをインストールした人でも、不満が募り、さらなるアップデートを無視することもあります。また、ユーザーが新しいバージョンをインストールしても、インストールされている古いバージョンを保持するケースもある。そのため、攻撃されやすいという弱点があります。

もちろん、恐ろしいAskツールバーを含むJavaの長い武勇伝も忘れてはならない。Javaをインストールしたりアップデートしたりするたびに、チェックボックスを外すのを忘れないようにしないと、あのくだらないものが入ってしまうのです。これは抜け道ではないのですが、ユーザーには悪い印象を与えてしまいました。

現代ジャワ語

ここで、従来はJavaが問題になっていましたが、最近はどうでしょうか。

2017年10月、Veracodeは、[no longer available] 88% of Java applications contain at least one vulnerable components.と発表し、2016年初頭にはOracleがJavaインストーラにさえ脆弱性があると発表しています。攻撃者がダウンロードフォルダに特定の名前のDLLファイルを配置すると、Javaインストーラを実行した際に感染が引き起こされる。一般に、Javaは普及しているため、古いJavaのコピーを利用した危険なウェブサイトにアクセスするだけで、感染してしまうのです。

これはJavaが安全とは程遠いことを意味しますが、良いニュースもあります。2016年初め、オラクルはJDK9で（問題の大半の原因であった）Javaブラウザープラグインを放棄する計画を発表しました。モダンブラウザもJavaを見捨てた。 Chromeは2015年末に、Firefoxは2017年初頭にJavaのサポートを打ち切った。Windows 10を含むマイクロソフトのエッジブラウザは、Javaを全くサポートしていません。

つまり、どうしてもブラウザでJavaを使う必要がある場合は、Internet Explorerにこだわらなくてはなりません。

最大の弱点

Javaは人気が低下しているので、最も安全でないデスクトップ・ソフトウェアとしてどのような位置にあるのでしょうか？

フレクセラの最新データである2017年第1四半期によると、平均的なPC上のプログラムの7.8%が寿命を迎えていることがわかりました。市場シェアにパッチ未適用のユーザーの割合を乗じたものをもとに、人気の高いプログラム上位10位をランキングしたものです。

1. iTunesバージョン12.x
2. Javaバージョン8.x
3. VLCメディアプレーヤー2.x
4. Adobe Reader XI バージョン11.x
5. Adobe Shockwave Player 12.x
6. マルウェアバイト アンチマルウェア 2.x
7. PC版Kindle 1.x
8. Adobe Acrobat Reader DC バージョン15.x
9. U カレント 3.x
10. iCloud for Windows 6.x

このリストは、あなたを驚かせるかもしれません。Javaは最も危険なプログラムではありませんが、それでも2番目に危険なプログラムです。その他、VLCやMalwarebytesなど、通常セキュリティリスクとは無縁のプログラムも、その位置を占めています。これは、人気のあるソフトウェアだけでなく、すべてのソフトウェアを最新の状態に保つことの重要性を示しています。

アバストの2017年第3四半期セキュリティレポートを確認することで、より詳しく知ることができます。ユーザーのコンピュータで最も古いプログラムのトップ10をリストアップしています。

1. Java 6、7、8
2. アドビエアー
3. アドビショックウェーブ
4. VLCメディアプレーヤー
5. iTunes
6. ファイアフォックス
7. 7 ジッパー
8. ウィンラル
9. クイックタイム
10. Adobe Flash Player

Javaは、古いバージョンを加えてもなお、最も更新されていないソフトウェアのトップであるようです。Adobeのプラグインも原因であり、iTunesとVLCがリストに入っています。

逆に、TechRadarによると、新しいアプリの中ではChromeが上位にランクインしています。この調査では、Chromeを使用しているユーザーの88％が最新版をインストールしていることがわかりました。これは、JavaやAdobeのランタイムが使用するしつこい更新プロンプトと比較して、沈黙の自動更新がいかに異なるかを示しています。

OSのアップデートを忘れずに

もう一つ重要なのは、OSのアップデートです。2017年半ば、自動更新をインストールしたユーザーは、恐ろしいランサムウェアの攻撃から保護されたことを思い出してください。Javaなどのソフトウェアを最新に保っていても、Windowsのアップデートをインストールしなければ、あなたのコンピューターは危険にさらされることになります。

windows10では、この自動更新が簡単にできますが、windows7をお使いの方は無効にしている可能性があります。そして、耐用年数が終了して4年近く経った今でもwindowsxpを使い続けている人は、大きなリスクを背負っていることになるのです。

javaはどのくらい危険なのか？

まとめると、やはりJavaはデスクトップにとって最大のセキュリティリスクと言えるのでしょうか。そうでもないんです。一方、ネガティブな面は、本当に必要ないにもかかわらず、古いバージョンのJavaを使い続ける人がいることです。そのため、セキュリティ上の脆弱性にさらされる可能性があります。しかし、ほとんどのブラウザがJavaをサポートしなくなったため、かつてのような脆弱性はなくなりました。

パソコンのセキュリティの弱点は、アップデートしていない代表的なソフトウェアからきています。Javaを最新版にしていても、WindowsがサポートしていないQuickTimeをアンインストールしていない場合は、大きなリスクとなります。また、Flash、Adobe Reader、iTunesのバージョンが古いと、攻撃を受ける可能性があります。

上記のデータから、自動更新のないプログラムは、通常、最も安全性が低いことが分かります。例えば、iTunesはしばしばユーザーにアップデートを要求しますが、これは迷惑な話です。このため、人々はこれらのアップデートを無視して、安全でないバージョンをインストールしてしまう可能性があります。

macやlinuxはどうなんでしょうか？

上記では、Windows用のJavaに焦点を当てましたが、MacやLinuxのユーザーにどのような影響があるかについても触れておく必要があります。

意外なことに、AppleはSafariでプラグインを実行することをデフォルトでは許可していませんが、このブラウザはJavaやSilverlightといった古いプラグインをまだサポートしています。Macでは、特別な理由で必要な場合を除き、Javaをアンインストールする必要がありますが、Macユーザーにとって、JavaはWindowsほど多くの問題を起こしません。最近のmacOSのセキュリティ脆弱性のほとんどは、Apple自身の過失によるものです。

また、Linuxは、Java特有の脆弱性については認識していない。LinuxでJavaをサポートするブラウザが必要な場合は、ビジネス環境向けに提供されているESR（ExtendedSupportRelease）版のFirefoxをお試しください。最新のセキュリティアップデートを提供しますが、機能の更新が展開されるまでに時間がかかります。Javaなどのレガシープラグインに対応した現行バージョン52は、2018年第2四半期に提供開始予定です。

プラグインがない未来

良いニュースは、あなたがこれ以上これらの潜在的に危険で迷惑なプラグインをインストールする必要がないことです.Javaを使用しているサイトはほとんどなく、メインプログラムのMinecraftのためにJavaをインストールする人は、安全なバンドル版のJavaを含めるようになりました。他のプラグインも必要ありません。マイクロソフトは数年前にSilverlightに拒否反応を示し、Shockwaveのコンテンツを含むサイトを見つけるのは難しいでしょう。

フラッシュは唯一の例外です。その人気のため、ほとんどのブラウザがまだサポートしていますが、Adobeは2020年に段階的に廃止する予定です。それまでは、お使いのコンピューターでFlashがアップデートされているかどうか、注意してください。 Chromeは自動的にアップデートされるので、もうインストールされていないかもしれません（それでもかまいません）。

つまり、Javaはまだ安全ではありませんが、ブラウザが無効化しているため、危険性は低くなっています。不要なプログラム（古いプラグインを含む）をアンインストールし、コンピュータのソフトウェアを常に最新の状態に保ち、OSのアップデートを適用する必要があります。これをやれば、金持ちになれる。

写真提供: avemario/Depositphotos