編集部からのお知らせ
CNET_ID限定PDF「システム監視の新ワード」
注目の記事まとめ「Emotet」動向
海外コメンタリー

「Apache Log4j」の脆弱性、ワーム化の懸念など--セキュリティ専門家はどう考える?

Jonathan Greig (ZDNet.com) 翻訳校正: 村上雅章 野崎裕子

2021-12-21 06:30

 「Apache Log4j」の脆弱性が世の中を騒がせ続けている中、サイバーセキュリティの専門家らは今後の成り行きについてさまざまな意見を有している。

 VMwareでサイバーセキュリティ戦略を率いるTom Kellermann氏によると、Log4jの脆弱性は同氏が見てきた中で最悪の部類に入るとともに、過去に公になった脆弱性の中で最大級のものだという。

 Apache Software Foundationによって開発されたLog4jは、アプリケーションの実行中に発生したイベントメッセージをログに記録する、Javaで記述されたライブラリーだ。Kellermann氏はApacheのことを「世界のアプリケーションとコンピュート環境の間をつなぐ橋を支える大きな柱の1つ」と形容した上で、Log4jを標的にするエクスプロイテーションは「その柱を不安定なものにし(中略)柱の上に構築されているデジタルインフラすべてを根底から揺さぶるものだ」と述べた。

 しかし、同氏が抱いている最大の懸念は、誰かがこの脆弱性を悪用したワームを作り出し、高性能な武器にしてしまうというものだ。ワームとは、Kellermann氏の言葉を借りると本質的に自らで拡散していく多態性を有したマルウェアだ。

 Kellermann氏は米ZDNetに対して、「2000年代の初頭において世の中を最も騒がせたワームの1つが『Code Red』だ」と述べ、「あの時以来、世界規模で影響を与えたものは見かけていない。今回の脆弱性がどこかのサイバーコミュニティーで武器化された場合、それが諜報機関であるか、サイバー界の4大ハッキンググループのいずれかであるか、サイバー犯罪カルテルであるかにかかわらず、事態はより目を離せないものになるだろう」と続けた。

 サイバーセキュリティのコミュニティーでは、ワームの可能性に関するさまざまな議論が持ち上がっている。サイバーセキュリティの専門家であるMarcus Hutchins氏は、Twitterの複数のスレッドでワームの恐怖が「強調されすぎている」と主張している。

 Hutchins氏はTwitter上で「第1に、既に大々的なエクスプロイテーション手法が存在している(1台のサーバーからインターネット全体に拡散させることができる)。第2に、ワームの開発には時間とスキルが必要だが、ほとんどの攻撃者は(パッチや他の攻撃者に先駆けようとしているという点で)時間との戦いを続けている」とツイートしている。

 また同氏は、「ワームが検出の網の目をかいくぐって目的を果たすには、新たなエクスプロイテーションテクニックが必要となる」ともツイートしている。

 さらに同氏は別のツイートで、2017年の「WannaCry」ランサムウェア攻撃によって「ワームの脅威が過剰なまでに人々の記憶に植え付けられた」とした上で、「ほとんどのエクスプロイトと比べてみても、(ワームは)最悪のシナリオではない(さらに言えば、他のエクスプロイトよりもひどいというわけではない)」と述べている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]