コンテンツにスキップ

イラスト:セキュリティ管理

カジノサイト

ソフトウェア ベンダーが Log4j の脆弱性への対処に躍起

クレア・マイヤー著
2021 年 12 月 13 日

セキュリティの今日

Apache Log4j はどこにでもあります。聞いたことがないかもしれませんが、ハッカーは間違いなく知っています。彼らは、Java ロギング ライブラリの重大なセキュリティ脆弱性を悪用する試みを毎分 100 回以上行っています。

現在 Log4Shell として知られるゼロデイ脆弱性が 12 月 9 日に発見され、認証されていないリモート コードの実行やサーバーへのアクセスが可能になる可能性があると警告されました。。クラウド プラットフォーム、Web アプリケーション、電子メール サービスなど、非常に多くのエンタープライズ ソフトウェア製品やオープンソース ソフトウェア製品が Log4j を使用しているため、この脆弱性により多くの重要なオンライン機能が危険にさらされます。

それで、Log4j とは何ですか?これは、開発者がアプリケーション内のアクティビティの記録を保持するために使用する、広く使用されているオープンソースのログ フレームワークです。。多くの主流サービスがこのシステムを使用しており、システムにパッチを適用し、侵害のリスクを軽減するために懸命に取り組んでいます。

一方、悪意のある攻撃者はインターネットをスキャンして影響を受けるシステムを探し、バグを悪用して拡散するツールを開発しました。

送信されたコメントによるとセキュリティ管理サイバーセキュリティ ソリューション会社 Praetorian の最高技術責任者である Richard Ford 博士より、Apache Log4j は「広く使用されており、この脆弱性の悪用には認証や特別なアクセスが必要ないことが多いため、信じられないほど多くのシステムが暴露されています。携帯電話の名前を特定の文字列に変更するだけで一部のオンライン システムを悪用できるという未確認の報告さえあります。」

プラエトリアンの専門家を含むサイバーセキュリティの専門家は、どのプログラムが影響を受けるのか、攻撃に対する強化には何ができるのかを判断するために週末を慌てて費やした、とフォード氏は語った。この脆弱性の重大度は「重大」と評価され、Apache は 12 月 11 日にパッチと緩和策を公開しました。

「すべての脆弱性は通常、その危険性によってスコア付けされます。この脆弱性は実質的に可能な限り最高のスコアを持っており、一部の専門家でさえその潜在的な影響を認識していない可能性が高いようです。」とフォード氏は付け加えた。 「状況は急速に変化しており、お客様が長期的な解決策に取り組んでいる間、お客様と迅速に協力して短期的なリスクの軽減を支援する中で、この脆弱性の範囲と影響について多くのことを学んでいます。そのためには、脆弱なコードのすべてのインスタンスにパッチを適用する必要があり、このプロセスには数か月かかる可能性があります。」

米国サイバーセキュリティ・インフラセキュリティ庁 (CISA、国土安全保障省の一部) の局長であるジェン・イースタリー氏は、次のように発表しました。12 月 11 日、この脆弱性について、次のように述べています。「CISA は官民のパートナーと緊密に連携し、log4j ソフトウェア ライブラリを含む製品に影響を与える重大な脆弱性に積極的に対処しています。この脆弱性は、ますます多くの攻撃者によって広く悪用されており、その広範な用途を考えると、ネットワーク防御者にとって緊急の課題となっています。エンド ユーザーはベンダーに依存することになり、ベンダー コミュニティは直ちに特定し、軽減する必要があります。」また、ベンダーは顧客とコミュニケーションをとり、自社の製品にこの脆弱性が含まれていることをエンド ユーザーに知らせ、ソフトウェアのアップデートを優先する必要があります。」

この脆弱性は、悪用された既知の脆弱性の CISA カタログに追加されたため、連邦政府機関はシステムに緊急にパッチを適用する必要があります。

CISA は、Log4j バージョン 2.15.0 へのアップグレード、ベンダー推奨の緩和策の適用、Log4j がインストールされている外部接続デバイスを列挙すること、このカテゴリのデバイス上のすべてのアラートに対してセキュリティ オペレーション センターが確実にアクションを実行すること、セキュリティ オペレーション センターがより少ないアラートに集中できるように自動的に更新されるルールを備えた Web アプリケーション ファイアウォールをインストールすることなど、複数の推奨行動方針を示しました。

arrow_upward