編集部からのお知らせ
記事まとめPDF「日本のスタートアップ」
お勧め記事まとめPDF「マイクロサービス」

CISA、米政府機関に「Log4j」への即時対応を命じる緊急指令

Jonathan Greig (Special to ZDNet.com) 翻訳校正: 編集部

2021-12-20 11:28

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間12月17日、米連邦政府機関に対して、ネットワークに接続されているアセットに存在する「Apache Log4j」の脆弱性をただちに修正することを命じる緊急指令を発表した。修正できない場合には、その他の適切な緩和策を講じる必要がある。

 CISAが以前発表した声明では、対応期限を12月24日としていた。最新の緊急指令を発表したのは、「複数の脅威アクターが、広く利用されているJavaベースのログ収集パッケージであるLog4jの脆弱性を活発に悪用している」事態に対応するためだという。

 CISAのJen Easterly長官は、あらゆる規模の組織に対して、ネットワークセキュリティの評価を行い、緊急指令に記載されている緩和策を適用することを求めた。

 Easterly氏は、ネットワーク上でLog4jの脆弱性を抱えた製品を使うことは、多数の脅威に対して「玄関を開けっぱなしにしている」状態に等しいと考えるべきだと述べている。

 CISAによれば、今回の指令が発表されたのは、すでに脅威アクターによってLog4jの脆弱性が悪用されているためだ。米国の政府機関では、広範囲で脆弱性の影響を受けたソフトウェアが利用されているという。

 CISAは、同組織が管理している「Known Exploited Vulnerabilities Catalog」(既知の悪用された脆弱性カタログ)にLog4jの脆弱性をはじめとする13件の脆弱性を追加した。CISAは11月、対処すべき脆弱性に関する情報を米連邦機関に提供する手段として、このリストを作成した。

 サイバーセキュリティ企業のBitdefenderは、おとり用のネットワークを使って攻撃をおびき寄せたところ、12月9日~16日までの間に3万6000回の攻撃を受けたことを明らかにした。その半数強では、攻撃の起点となる国を隠蔽するために「Tor」が使用されていた。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]