米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米連邦政府機関に対し、米国時間12月24日までに「Apache Log4j」の脆弱性とそのほか3件の脆弱性にパッチを適用するよう命じた。
CISAは、同組織が管理している「Known Exploited Vulnerabilities Catalog」(既知の悪用された脆弱性カタログ)にLog4jの脆弱性とそのほか12件の脆弱性を追加し、そのうち4件のパッチ適用期限を12月24日に、残りの期限を2022年6月10日に指定した。期限が12月24日に指定されたのはLog4jの脆弱性のほか、Zohoの「ManageEngine Desktop Central」に存在する認証パイパスの脆弱性、Fortinetの「FortiOS」に存在する任意のファイルがダウンロードされる脆弱性、「Realtek Jungle SDK」に存在するリモートコード実行の脆弱性だ。
CISAのJen Easterly長官は、12月11日に発表した声明の中で、Log4jの脆弱性は「広く悪用されており、悪用している脅威アクターは増え続けている」「用途が幅広いことから、ネットワークを守ろうとする者にとって喫緊の課題になっている」と述べている。
CISAは11月、対処すべき脆弱性に関する情報を米連邦機関に提供する手段として、このリストを作成した。リストでは脆弱性ごとに、パッチ適用を終えるべき期限が示されている。
ABS Groupの産業向けサイバーセキュリティサービス開発責任者であるDennis Hackney氏によれば、Log4jのAPIは、OT環境のヒストリアンアプリケーション(時系列情報を収集・蓄積するデータベースアプリケーション)やログ収集アプリケーションで一般的によく使われている、デバッグ機能やログ収集機能に関わっているという。
Hackney氏は、多くの企業は認識していないが、Log4j 2.0の問題で明らかになったように、SCADA(Supervisory Control and Data Acquisition)やHMIアプリケーションでは、低コストで実用的な機能を提供するために、JavaやApacheのようなオープンソース技術が使われている場合が多いと指摘した。さらに同氏は、近日中にセキュリティアラートと修正パッチが公開される可能性がある製品として、Siemensの「T3000」や、GE のヒストリアンアプリケーションである「CIMPLICITY」、GEの「LogManager」、OSIsoftの「PI Logger」、Inductive Automationの製品、「Mango Automation」などの名前を挙げた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。