HOME情報セキュリティ情報セキュリティ対策脆弱性対策Java セキュリティポリシーの独自設定に関する注意喚起

本文を印刷する

情報セキュリティ

Java セキュリティポリシーの独自設定に関する注意喚起

最終更新日 2005年 3月 3日
更新履歴
掲載日 2005年 2月28日

独立行政法人 情報処理推進機構
セキュリティセンター

 Java アプリケーションのインストールプログラム等の中には、インストール時にクライアントのJava 環境のセキュリティポリシー(以下:ポリシー)を書換えるものがあります。

 Java のセキュリティモデルでは、ポリシーを使用して、Java アプリケーション等の権限を制御できます。また、ポリシーの適用範囲は細かく制御でき、必要な個所にだけ必要な権限を与えることができます。

 しかし、Javaアプリケーションのインストールプログラム等の中には、もともと設定されているポリシーを上書きして消してしまったり、ポリシーの適用範囲を制限していないものがあります。この結果、ウェブページ上に仕掛けられた罠などにより、クライアント上のファイルが盗み見られたり、破壊されたり、クライアントが第三者への攻撃の踏み台にされる可能性があります。また、他のJava アプリケーションが動作しなくなる可能性があります。

 システム構築事業者の方は、このような不適切なポリシー設定により、クライアントのセキュリティレベルを低下させないよう、改めて注意するとともに、以下の点の確認をお願いします。

※ポリシーファイルは、標準の設定では以下の場所に作成されます。

  • システムポリシーファイル ({java.home} は Java をインストールした場所)
    • {java.home}\lib\security\java.policy (Windows)
    • {java.home}/lib/security/java.policy (Solaris)
  • ユーザポリシーファイル ({user.home} はユーザのホームディレクトリ)
    • {user.home}\.java.policy (Windows)
    • {user.home}/.java.policy (Solaris)

■必要なポリシーだけを許可する

 ポリシーの適用範囲を制限していても、ファイルを読む "read" だけが必要な場合に "write" まで許可することは好ましくありません。

■適用範囲を制限しないポリシー設定を行わない

 次のような適用範囲を制限していない権限付与(grant)はシステム全体のセキュリティレベルを低下させてしまいます。

  --------------------------------------------------------------
   grant {
   permission java.io.FilePermission "<<ALL FILES>>", "read";
   }
  --------------------------------------------------------------

必ず、以下のように署名付きのアプレット単位や、コードベース単位で設定してください。

  --------------------------------------------------------------
   grant signedBy "foobar", codeBase "http://www.example.jp/*" {
   };
  --------------------------------------------------------------

■ポリシーの上書きをしない

 ポリシーを設定する際は、必ず元のポリシーに追記する形にし、ポリシーファイル自体の上書きを行わないでください。ポリシーファイルが上書きされた場合、もともと設定されていたポリシーに依存した他のJava アプリケーション等が動作しなくなる可能性があります。

【参考情報】

Java セキュリティアーキテクチャ (3.3 java.security.Policy)
http://java.sun.com/j2se/1.5.0/ja/docs/ja/guide/security/spec/
security-spec.doc3.html#20128
セキュアプログラミング講座 (第3章 セキュアJavaプログラミング)
http://www.ipa.go.jp/security/awareness/vendor/programming/a03_01.html

お問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail:電話番号:03-5978-7501までお問い合わせください。

更新履歴

2005年 2月28日 公開
2005年 2月28日 まぎらわしい表現を修正
2005年 3月 3日 独自設定の影響として、ファイルの盗み見、破壊について追記