米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間1月10日、現時点で「Log4Shell」脆弱性を悪用した深刻な侵入は米国で報告されていないとの見解を示した。「Apache Log4j」に存在するこの脆弱性は、2021年12月に明らかにされた。
CISAのJen Easterly長官と、サイバーセキュリティ担当エグゼクティブアシスタントディレクターEric Goldstein氏は記者会見で、ベルギー国防省が標的となった攻撃以外、Log4jの脆弱性悪用が直接の原因となった深刻なインシデントは確認されていないと述べた。
「現時点で、重大な侵入につながるLog4Shellの悪用は確認されていない。これは、巧妙な攻撃者がすでに脆弱性を利用して標的を攻撃しており、ネットワークセキュリティ管理者が警戒を緩めるまで、新たに確保したアクセスを悪用するのを待っている可能性がある。2017年9月に発覚した信用情報会社Equifaxのデータ流出は、同年3月に明らかにされていたオープンソースソフトウェアの脆弱性が原因だったことは、誰もが記憶しているはずだ」とEasterly氏は警告した。
また同氏は、侵入が確認されていないのは、「セキュリティ管理者や多くの組織が、インターネットから直接アクセスできるデバイスなど、最も容易に攻撃されやすいデバイスに対して、直ちに緩和策を講じたことも一因かもしれない」とし、「われわれはLog4Shellが今後も侵入に悪用される可能性があると予想している」と述べた。
さらに同氏は、ランサムウェアグループらがLog4jの脆弱性を利用して攻撃していると、サイバーセキュリティ企業から複数の報告があったものの、確認できていないと述べた。
CISAは重大な攻撃はみられないと考えているものの、Log4Shellのスキャニングや悪用が広範に行なわれているとGoldstein氏は指摘した。攻撃者はこの脆弱性を利用し、被害者のコンピューターに暗号資産(仮想通貨)採掘ソフトウェアをインストールしたり、ボットネットとして悪用したりしているという。
Goldstein氏は、連邦政府機関や重要インフラ組織に関わる侵害は確認されていないと考えていると述べた。同氏によると、CISAは「壊滅的な攻撃、高度で継続的な脅威(APT)による攻撃」は見られないと認識している。
CISAは、Log4jの問題に対処するためにさまざまな取り組みを行なっている。Easterly氏は、Log4jの影響を受けた2800種以上の製品を網羅したカタログが数十万回閲覧されたほか、CISAが独自に提供しているLog4j向けスキャナーが約4000回ダウンロードされたと説明した。
CISAはLog4jによる攻撃を確認していないものの、サイバーセキュリティ企業は脆弱性を悪用しようとする試みが数多くみられると報告している。
サイバーセキュリティ企業のNETSCOUTは米ZDNetに対し、同社がブロックしたLog4jエクスプロイトの件数は8桁に迫っており、最近は1日で500万件ブロックしたと述べた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
