米国土安全保障省の下部組織であり、重大なサイバーセキュリティ事件をレビュー、検証する委員会「Cyber Safety Review Board」(CSRB)は米国時間7月14日、「Review of the December 2021 Log4j Event 」(2021年12月に発生したLog4j事件に関するレビュー)というレポートを公開した。2月に設立された同委員会初となるこのレポートによると、「Apache Log4j」の脆弱性は2021年12月に発見されて以来、さまざまな米政府機関がその対処に向けて膨大な時間を費やしてきているという。また、この脆弱性によって投げかけられるサイバーセキュリティ上の懸念は10年以上に及ぶ可能性があるという。
提供:Seksan Mongkhonkhamsao/Getty Images
広く普及しているJavaのログ出力ライブラリーであるLog4jに潜んでいた脆弱性は、パッチを適用していなければハッカーによってサーバーを乗っ取られる可能性があるという危険なものだ。このライブラリーが普及しているのは無料で使えるためという理由もあるが、それは裏を返せば利用者自らがパッチを適用しなければならないということをも意味している。これは途方もなく大きな重荷になる可能性がある。CSRBによると、ある連邦閣議機関はこの脆弱性に対応するために、既に3万3000時間を費やしているという。
Log4jの脆弱性が公表された頃、米政府は企業に向け、サイバー攻撃に対して厳戒体制を採るよう警告した。ただ、この脆弱性を狙う攻撃は発生したものの、当初に危惧されていたほど深刻なものとはなっていない。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。