CISA、米政府機関に「Log4j」のパッチ適用を命令--12月24日までに

Jonathan Greig (Special to ZDNet.com) 翻訳校正: 編集部

2021-12-15 13:09

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米連邦政府機関に対し、米国時間12月24日までに「Apache Log4j」の脆弱性とそのほか3件の脆弱性にパッチを適用するよう命じた。

 CISAは、同組織が管理している「Known Exploited Vulnerabilities Catalog」(既知の悪用された脆弱性カタログ)にLog4jの脆弱性とそのほか12件の脆弱性を追加し、そのうち4件のパッチ適用期限を12月24日に、残りの期限を2022年6月10日に指定した。期限が12月24日に指定されたのはLog4jの脆弱性のほか、Zohoの「ManageEngine Desktop Central」に存在する認証パイパスの脆弱性、Fortinetの「FortiOS」に存在する任意のファイルがダウンロードされる脆弱性、「Realtek Jungle SDK」に存在するリモートコード実行の脆弱性だ。

 CISAのJen Easterly長官は、12月11日に発表した声明の中で、Log4jの脆弱性は「広く悪用されており、悪用している脅威アクターは増え続けている」「用途が幅広いことから、ネットワークを守ろうとする者にとって喫緊の課題になっている」と述べている。

 CISAは11月、対処すべき脆弱性に関する情報を米連邦機関に提供する手段として、このリストを作成した。リストでは脆弱性ごとに、パッチ適用を終えるべき期限が示されている。

 ABS Groupの産業向けサイバーセキュリティサービス開発責任者であるDennis Hackney氏によれば、Log4jのAPIは、OT環境のヒストリアンアプリケーション(時系列情報を収集・蓄積するデータベースアプリケーション)やログ収集アプリケーションで一般的によく使われている、デバッグ機能やログ収集機能に関わっているという。

 Hackney氏は、多くの企業は認識していないが、Log4j 2.0の問題で明らかになったように、SCADA(Supervisory Control and Data Acquisition)やHMIアプリケーションでは、低コストで実用的な機能を提供するために、JavaやApacheのようなオープンソース技術が使われている場合が多いと指摘した。さらに同氏は、近日中にセキュリティアラートと修正パッチが公開される可能性がある製品として、Siemensの「T3000」や、GE のヒストリアンアプリケーションである「CIMPLICITY」、GEの「LogManager」、OSIsoftの「PI Logger」、Inductive Automationの製品、「Mango Automation」などの名前を挙げた。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]