また最近では、IPAによるセキュリティ白書において10大脅威の1つとして、組み込み機器の脆弱性の増加が上げられている。これは、ネットワークに接続する機器が増加している一方で組み込み機器がネットワークからの攻撃に対して対策が万全でないことを示している。今までの組み込み機器ではネットワークにつながっても、ハードウェアの詳細は第三者にはわからないとか、OSを利用していないファームウェアであるとか、すべてのアプリケーションがROM上のファームウェアで動作するなどで、攻撃対象になることはほとんど考えられなかった。
現在では、組み込みOSの普及によって組み込みアプリケーションが機能の大部分を占めたHDDもしくはメモリに展開された書き換え可能な領域で動作するなど、PC上のアプリケーションと遜色なくなってきた。そのためPCアプリケーションやPCのOSをターゲットにしてきた攻撃が組み込みにも適用されるようになってきた。
また、機器は出荷の時点でファームウェア、アプリケーションを組み込んだ状態で出荷されるため、規定の設定などを市場で動的に変えることが困難であること、さらに長期間にわたって利用されることから、長期にわたる悪意ある第三者の調査や解析に対して十分な時間を与えてしまう。市場での対応の難しさの一例として、管理者権限のパスワードの問題が顕著である。
組み込みOSであってもPCと遜色のない動作をすることから、管理者権限という権限が存在する。通常開発者はこの権限を利用して開発し、市場のサポートではユーザー権限を用いたりする。ところが、この権限の根拠になるパスワードは、出荷時にROMに焼き込まれるため市場で変更することが難しい。パスワードがハッキングされてしまったら、その機器はネットワークにつないだ瞬間に常に脅威にさらされてしまう。機器がネットワークからハッキングされてしまう脅威は、組み込み機器の開発者であれば、ご存じとは思うが、重大事故につながりかねない。熱源を保有し制御している機器で制御ソフトを改変されてしまったら、火事になってもおかしくないのである。
このようなことを考慮して、機器ではネットワークからのアクセスを制限したり、アーキテクチャに対して工夫を凝らしたりして対処しているが、機器は長期にわたって利用されるため、絶対の保証を生み出すのは難しい。ネットワークなどの外部との接続を行うアプリケーションにJavaを利用することは、機器にセキュリティを実施するのと同じくらい効果がある。Java自体はセキュリティポリシーが整備されており、セキュリティに関してはPC用のOS以上に強固であると言っても差し支えないだろう。また前記したようなアップデートなどに対応が容易になることと合わせて長期にわたっての利用でも、最新のセキュリティを導入することも容易になる。