【ラウンドアップ】
Java向けのログ出力ライブラリー「Apache Log4j」で見つかった脆弱性「CVE-2021-44228」は、その影響から大きな注目を集めるものとなっている。ここでは同脆弱性の問題について、これまでの経緯や知っておくべきことなどをまとめた。
経緯
-
Apache Log4jの脆弱性問題、さらなる修正版が公開
Apache Log4jの脆弱性にさらなる修正が加えられた「Apache Log4j 2.16.0」と「Log4j 2.12.2」がリリースされている。
2021-12-14 -
CISA、米政府機関に「Log4j」のパッチ適用を命令--12月24日までに
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米連邦政府機関に対し、12月24日までに「Apache Log4j」の脆弱性にパッチを適用するよう命じた。
2021-12-15 -
「Apache Log4j」の脆弱性、国家を後ろ盾とするハッカーが悪用--マイクロソフトが警告
マイクロソフトによると、中国、イラン、北朝鮮、トルコといった国家の支援を受けたハッカー集団が、「Apache Log4j」の脆弱性を悪用し、ランサムウェアなどのマルウェアを仕掛けようとしている。
2021-12-16 -
CISA、米政府機関に「Log4j」への即時対応を命じる緊急指令
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米連邦政府機関に対して、ただちに「Apache Log4j」の脆弱性を修正するよう命じる緊急指令を発表した。
2021-12-20 -
ベルギー国防省に「Apache Log4j」を悪用したサイバー攻撃
ベルギー国防省は、同省のネットワークが「Apache Log4j」の脆弱性を利用したサイバー攻撃を受けたことを認めた。
2021-12-21 -
「Log4j」でCISAらがアドバイザリー--攻撃者によるネットワークスキャンが多発
米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティリーダーが「Apache Log4j」について、さまざまな情報を含む新しいアドバイザリーを発表した。
2021-12-24 -
CISAやCrowdStrike、「Log4j」向けスキャナーを提供--限界があるとの指摘も
サイバーセキュリティ企業や研究者が、Javaのログ出力ライブラリー「Apache Log4j」の脆弱性を検出する多数のスキャナーを提供するなか、米サイバーセキュリティ・インフラセキュリティ庁(CISA)も独自のスキャナーを公開した。
2021-12-24 -
「Apache Log4j」の脆弱性悪用に引き続き要警戒--マイクロソフト
マイクロソフトは、「Apache Log4j」の脆弱性を突く「Log4Shell」攻撃の標的となるシステムを洗い出そうとする偵察行動が12月を通じて観測されていたとし、「Windows」ユーザーや「Microsoft Azure」の顧客に対して、引き続き警戒するよう警告している。
2022-01-05 -
「Apache Log4j」の脆弱性、適切な対策怠った企業にFTCが法的措置の可能性
米連邦取引委員会(FTC)は企業に対し、「Apache Log4j」の脆弱性に対処するよう促した。適切な対策をとらない企業の責任を追及するとしている。
2022-01-06 -
「Log4j」の脆弱性に関連する「深刻な侵入」見られずも要警戒--CISA長官ら
米サイバーセキュリティ・インフラセキュリティ庁(CISA)の長官らは、現時点で「Log4Shell」脆弱性を悪用した深刻な侵入は米国で報告されていないが、今後も悪用される恐れがあると述べた。
2022-01-11
知っておくべきこと
専門家の見解
-
「Log4j」悪用する攻撃、収束には「数カ月」か--サイバーセキュリティ専門家
サイバーセキュリティの専門家は、「Log4j」のリモートコード実行の脆弱性である「CVE-2021-44228」に対応するには、数年とは言わないまでも、数カ月かかると考えている。
2021-12-15 -
「Apache Log4j」の脆弱性、ワーム化の懸念など--セキュリティ専門家はどう考える?
「Log4Shell」を悪用するワームが作られ、武器化されることは「最大の懸念」だとする研究者がいる一方、恐怖が「強調されすぎている」と指摘する専門家もいる。
2021-12-21 -
「Apache Log4j」の脆弱性への対応、考慮するべき10の問い--英政府機関NCSC
「Apache Log4j」の問題は一夜にして解決できるものではない。英国家サイバーセキュリティセンター(NCSC)は、この問題に対応する上で、専任のITチームを擁する中規模、大規模の組織が考慮するべき10の問いを挙げている。
2021-12-22