速報
米連邦政府のCISA、「Log4j」対策をクリスマスイブまでに完了するよう政府機関に指示
米連邦政府のサイバーセキュリティ諮問機関CISAが、連邦政府機関に対し、「Log4j」の脆弱性対策を12月24日のクリスマスイブまでに完了するよう指示した。CISAはこの脆弱性に関する専用Webページも立ち上げた。
米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA)は12月14日(現地時間)、連邦政府機関に対し、世界的に問題になっている「Log4j」の脆弱性の影響を受けるシステムに12月24日のクリスマスイブまでにパッチを適用するよう指示した。
CISAは13日、Log4jの脆弱性「CVE-2021-44228」を積極的に悪用された脆弱性のカタログに追加している。
CISAはまた、Log4j専用Webページを立ち上げた。このページには脆弱性の影響を受けている可能性のあるソフトウェアベンダーの一覧などの情報がまとめられており、随時アップデートされている。
Log4jの脆弱性は、9日に明らかになった。Log4jは多数の企業向けシステムに採用されていることもあり、システムのリモートからのハッキングに悪用されやすい。
既に少なくとも10件のマルウェアボットネットに組み込まれていることが確認されている。
関連記事
「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた
ログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行できる脆弱性があることが明らかになった問題で、その攻撃手段をネット上で共有する行為は、不正指令電磁的記録に関する罪に問われるのではないかと、エンジニアを中心に議論が起きている。
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。
CISA、FBI、NSAがBlackMatterランサムウェア対策アドバイザリー公開
CISA、FBI、NSAがランサムウェア対策アドバイザリーを公開した。サンドボックス環境で分析したBlackMatterランサムウェアのデータに基づく、犯罪者の戦術、技術、攻撃手順に関する情報を提供するもの。
米国、対ランサムウェアで官民連携 MicrosoftやGoogle、FBIやNSAなどが参加
米連邦政府のサイバーセキュリティ諮問機関CISAがランサムウェアと戦う新イニシアチブ「Joint Cyber Defense Collaborative」(JCDC)を発表。MicrosoftやGoogleなど、20社以上の民間企業も参加する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.