米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティリーダーが「Apache Log4j」について、さまざまな情報を含む新しいアドバイザリーを発表した。このガイドには、Log4jソフトウェアライブラリーの既知の脆弱性に対処するための技術的な詳細や緩和策、リソースが含まれる。
このプロジェクトは、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米連邦捜査局(FBI)、米国家安全保障局(NSA)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランドコンピューター緊急対応チーム(CERT NZ)、ニュージーランドの国家サイバーセキュリティセンター(NZ NCSC)、英国の国家サイバーセキュリティセンター(NCSC-UK)による共同の取り組みだ。
それらの組織によると、アドバイザリーを公開したのは、「悪意あるサイバー脅威アクターを含む多数の脅威アクターが世界中でLog4jの脆弱性を積極的に悪用している」からだという。さまざまなランサムウェアグループやサイバー犯罪組織に加えて、北朝鮮やイラン、トルコ、中国の多数のグループもこの脆弱性を悪用していることが確認されている。
CISA長官のJen Easterly氏によると、Log4jの脆弱性は世界中の組織や政府に重大かつ継続的な脅威をもたらすという。
「われわれはあらゆる組織に対し、すぐさま行動を起こして、最新の緩和策を実施し、自らのネットワークを保護することを要請する」とEasterly氏。「これらの脆弱性は、私がこれまでのキャリアで見てきた中で最も重大なものである。皆で力を合わせて、ネットワークを安全に保つことが不可欠だ」
サイバーセキュリティ企業のSonatypeは、米国時間12月10日に脆弱性が発見されて以来、Log4jのダウンロード総数を追跡しており、過去1時間にダウンロードされたLog4jの脆弱なバージョンの数も監視している。この問題に対処するために大規模な取り組みが実施されているにもかかわらず、過去1時間にダウンロードされたLog4jの43%は脆弱なバージョンだ。
提供:Sonatype
オーストラリアサイバーセキュリティセンターの責任者代理を務めるJessica Hunter氏によると、世界中に多数存在する脆弱なシステムの一部が、悪意あるサイバーアクターによってすでにスキャンされ、悪用されているため、各国政府はパッチ適用や連携、監視などの取り組みを急ぐ必要があるという。
FBIのBryan Vorndran氏は、脆弱性を通して攻撃された組織に対し、FBIかCISAに問題を報告するよう促した。CISAは、ネットワークの保護に関する情報やガイダンス、リソースを含むLog4Jウェブページを開設したほか、影響を受けるデバイスやサービスを確認できるコミュニティーソースの「GitHub」リポジトリーも用意した。
NSAのサイバーセキュリティ担当ディレクターのRob Joyce氏は、誰もが資産のインベントリーを作成して、最新のパッチをすぐに適用できるようにしておく必要がある、と述べた。
「インターネット経由でアクセス可能な資産から手を付けるべきだが、あらゆるものを対象に緩和策を実施し、アップデートを適用する必要がある。そして、監視とフォローアップを実施する。悪意ある攻撃者が、侵害したソフトウェアにパッチを適用し、それらの資産を引き続き制御できるようにする事例も確認されている」(Joyce氏)
CISAは、すべての連邦民間機関に対してクリスマスまでにこの問題に対処するよう命令し、ほかのオープンソースコミュニティーメンバーによって作成されたスキャナーから派生したオープンソースの「log4j-scanner」を公開した。このツールの目的は、組織がlog4jの脆弱性の影響を受けるかもしれない脆弱なウェブサービスを特定できるように支援することだ。
CERT NZのディレクターであるRob Pope氏は、「皆が可能な限り早くこの脆弱性にパッチを適用することの重要性は、いくら強調しても足りない。悪意あるアクターたちがLog4jの脆弱性を利用して、世界中のシステムに侵入する方法を絶えずスキャンしていることをわれわれは把握している」と述べた。
「これらのタイプの攻撃に効果的に対処するには、一致団結して行動するしかない。われわれが組織の安全とセキュリティを維持する国際的な取り組みに参加できることを誇りに思っているのは、そのためだ」
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
