米国では「Log4j」脆弱性の放置に法的措置も 攻撃に引き続き警戒を呼び掛け：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　Javaのログ出力ライブラリ「Apache Log4j」のバージョン2に重大な脆弱性が発覚した問題は、年が明けても深刻な状況が続いている。米Microsoftは更新情報の中で、脆弱性を突く攻撃は今後も続くと予想、企業に対して警戒を怠らないよう呼び掛けた。米連邦取引委員会（FTC）は、この脆弱性を悪用する集団が増えている実態を受け、対策を怠った企業の責任を追及すると表明した。

　Log4jの脆弱性が発覚したのは12月9日（米国時間）。直後から仮想通貨採掘マルウェアや「Mirai」などのボットネットやバックドア、さらには「Conti」などのランサムウェア集団に次々と悪用され、攻撃が激増した。

　Microsoftの1月3日の更新情報によれば、12月の最終週になっても脆弱性悪用の試みやテストが横行する状況は続いた。既存のマルウェアに取り入れたり、仮想通貨採掘やハンズオンキーボード攻撃などに利用したりする手口も多数観測しているという。

Log4jの脆弱性に関するMicrosoftの更新情報

　今回の脆弱性は、国家が関与する集団から利益目当ての集団に至るまで、あらゆる集団が悪用しており、今後もそうした悪用は増えるとMicrosoftは予想する。しかし企業などが既に不正侵入などの攻撃を受けていたとしても、そのことに気付いていない恐れもある。

　Log4jはオープンソースコンポーネントとして多数のソフトウェアやサービスに使われており、脆弱性の影響は計り知れない。だがそうした製品やサービスを利用する企業では、自分たちの環境にどの程度影響が及んでいるのかを把握できていない可能性がある。

　「悪用コードやスキャン機能は広く出回っている。企業はこれを自分たちの環境にとって現実の危険として認識する必要がある」とMicrosoftは強調。「影響を受けるソフトウェアやサービスの多さや、アップデートのペースを考えると、修正には時間がかかることが予想でき、継続的・持続的な警戒が求められる」と述べ、企業に対してスクリプトやスキャンツールを使ってリスク評価や影響評価を行うよう呼びかけた。

　Log4jの脆弱性を見つけ出すための無料スキャンツールは、米国土安全保障省（DHS）傘下のサイバーセキュリティ諮問機関CISAや、セキュリティ企業のCrowdStrikeなどが提供している。

CrowdStrikのスキャンツールに関する記事

　一方、FTCは消費者を守る立場から「法的権限を全面的に行使して、責任ある措置を取らなかった企業を追及する」と表明した。Log4jの脆弱性対策を怠った企業に対しては法的措置を講じる構えだ。

FTCは「責任ある措置を取らなかった企業を追及する」と表明

　「脆弱性が悪用されれば個人情報の流出や金銭的損失といった取り返しのつかない損害が生じる恐れがある」とFTCは指摘し、「Log4jを使っている企業やベンダーは、消費者に損害が出る可能性を低減するためにも、FTCによる法的措置を免れるためにも、今すぐ行動しなければならない」と強調する。

　過去に対策を怠って多大な損害を出した企業の実例として、米信用情報機関Equifaxが既知の脆弱性を放置したため大量の個人情報が流出。7億ドルの和解金を支払った事例も引き合いに出している。

　FTCはまた、Log4jのようなオープンソースライブラリの構造的問題にも言及した。こうしたライブラリは数え切れないほど多様な企業が横断的に利用しているにもかかわらず、開発やメンテナンスはボランティアが担うことも多く、インシデント対応や先を見越したメンテナンスのためのリソースや人材は必ずしも十分ではないと指摘。「そうした状況を考慮しながら、ユーザーのセキュリティを危険にさらす根本問題への対応に取り組む」と表明している。