米国では「Log4j」脆弱性の放置に法的措置も 攻撃に引き続き警戒を呼び掛け:この頃、セキュリティ界隈で
「Log4j」の脆弱性の問題は、年が明けても深刻な状況が続いている。米Microsoftは企業に対し、引き続き警戒するように注意を呼び掛けている他、米連邦取引委員会(FTC)は対策を怠った企業に対し、法的措置を講じる考えを示した。
Javaのログ出力ライブラリ「Apache Log4j」のバージョン2に重大な脆弱性が発覚した問題は、年が明けても深刻な状況が続いている。米Microsoftは更新情報の中で、脆弱性を突く攻撃は今後も続くと予想、企業に対して警戒を怠らないよう呼び掛けた。米連邦取引委員会(FTC)は、この脆弱性を悪用する集団が増えている実態を受け、対策を怠った企業の責任を追及すると表明した。
Log4jの脆弱性が発覚したのは12月9日(米国時間)。直後から仮想通貨採掘マルウェアや「Mirai」などのボットネットやバックドア、さらには「Conti」などのランサムウェア集団に次々と悪用され、攻撃が激増した。
Microsoftの1月3日の更新情報によれば、12月の最終週になっても脆弱性悪用の試みやテストが横行する状況は続いた。既存のマルウェアに取り入れたり、仮想通貨採掘やハンズオンキーボード攻撃などに利用したりする手口も多数観測しているという。
今回の脆弱性は、国家が関与する集団から利益目当ての集団に至るまで、あらゆる集団が悪用しており、今後もそうした悪用は増えるとMicrosoftは予想する。しかし企業などが既に不正侵入などの攻撃を受けていたとしても、そのことに気付いていない恐れもある。
Log4jはオープンソースコンポーネントとして多数のソフトウェアやサービスに使われており、脆弱性の影響は計り知れない。だがそうした製品やサービスを利用する企業では、自分たちの環境にどの程度影響が及んでいるのかを把握できていない可能性がある。
「悪用コードやスキャン機能は広く出回っている。企業はこれを自分たちの環境にとって現実の危険として認識する必要がある」とMicrosoftは強調。「影響を受けるソフトウェアやサービスの多さや、アップデートのペースを考えると、修正には時間がかかることが予想でき、継続的・持続的な警戒が求められる」と述べ、企業に対してスクリプトやスキャンツールを使ってリスク評価や影響評価を行うよう呼びかけた。
Log4jの脆弱性を見つけ出すための無料スキャンツールは、米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関CISAや、セキュリティ企業のCrowdStrikeなどが提供している。
一方、FTCは消費者を守る立場から「法的権限を全面的に行使して、責任ある措置を取らなかった企業を追及する」と表明した。Log4jの脆弱性対策を怠った企業に対しては法的措置を講じる構えだ。
「脆弱性が悪用されれば個人情報の流出や金銭的損失といった取り返しのつかない損害が生じる恐れがある」とFTCは指摘し、「Log4jを使っている企業やベンダーは、消費者に損害が出る可能性を低減するためにも、FTCによる法的措置を免れるためにも、今すぐ行動しなければならない」と強調する。
過去に対策を怠って多大な損害を出した企業の実例として、米信用情報機関Equifaxが既知の脆弱性を放置したため大量の個人情報が流出。7億ドルの和解金を支払った事例も引き合いに出している。
FTCはまた、Log4jのようなオープンソースライブラリの構造的問題にも言及した。こうしたライブラリは数え切れないほど多様な企業が横断的に利用しているにもかかわらず、開発やメンテナンスはボランティアが担うことも多く、インシデント対応や先を見越したメンテナンスのためのリソースや人材は必ずしも十分ではないと指摘。「そうした状況を考慮しながら、ユーザーのセキュリティを危険にさらす根本問題への対応に取り組む」と表明している。
関連記事
- 「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開
ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。 - アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に
中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。 - 「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。 - 世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説
JavaライブラリApache Log4jで見つかった脆弱性について、JPCERT/CCが攻撃の仕組みと対策方法を公開し注意を促した。 - 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。
Copyright © ITmedia, Inc. All Rights Reserved.