米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間12月17日、米連邦政府機関に対して、ネットワークに接続されているアセットに存在する「Apache Log4j」の脆弱性をただちに修正することを命じる緊急指令を発表した。修正できない場合には、その他の適切な緩和策を講じる必要がある。
CISAが以前発表した声明では、対応期限を12月24日としていた。最新の緊急指令を発表したのは、「複数の脅威アクターが、広く利用されているJavaベースのログ収集パッケージであるLog4jの脆弱性を活発に悪用している」事態に対応するためだという。
CISAのJen Easterly長官は、あらゆる規模の組織に対して、ネットワークセキュリティの評価を行い、緊急指令に記載されている緩和策を適用することを求めた。
Easterly氏は、ネットワーク上でLog4jの脆弱性を抱えた製品を使うことは、多数の脅威に対して「玄関を開けっぱなしにしている」状態に等しいと考えるべきだと述べている。
CISAによれば、今回の指令が発表されたのは、すでに脅威アクターによってLog4jの脆弱性が悪用されているためだ。米国の政府機関では、広範囲で脆弱性の影響を受けたソフトウェアが利用されているという。
CISAは、同組織が管理している「Known Exploited Vulnerabilities Catalog」(既知の悪用された脆弱性カタログ)にLog4jの脆弱性をはじめとする13件の脆弱性を追加した。CISAは11月、対処すべき脆弱性に関する情報を米連邦機関に提供する手段として、このリストを作成した。
サイバーセキュリティ企業のBitdefenderは、おとり用のネットワークを使って攻撃をおびき寄せたところ、12月9日~16日までの間に3万6000回の攻撃を受けたことを明らかにした。その半数強では、攻撃の起点となる国を隠蔽するために「Tor」が使用されていた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
