「Apache Log4j」の脆弱性、影響は今後10年以上続く可能性

Andrew Blok (CNET News) 翻訳校正: 編集部

2022-07-15 11:41

 米国土安全保障省の下部組織であり、重大なサイバーセキュリティ事件をレビュー、検証する委員会「Cyber Safety Review Board」(CSRB)は米国時間7月14日、「Review of the December 2021 Log4j Event 」(2021年12月に発生したLog4j事件に関するレビュー)というレポートを公開した。2月に設立された同委員会初となるこのレポートによると、「Apache Log4j」の脆弱性は2021年12月に発見されて以来、さまざまな米政府機関がその対処に向けて膨大な時間を費やしてきているという。また、この脆弱性によって投げかけられるサイバーセキュリティ上の懸念は10年以上に及ぶ可能性があるという。

サイバー犯罪者のイメージ
提供:Seksan Mongkhonkhamsao/Getty Images

 広く普及しているJavaのログ出力ライブラリーであるLog4jに潜んでいた脆弱性は、パッチを適用していなければハッカーによってサーバーを乗っ取られる可能性があるという危険なものだ。このライブラリーが普及しているのは無料で使えるためという理由もあるが、それは裏を返せば利用者自らがパッチを適用しなければならないということをも意味している。これは途方もなく大きな重荷になる可能性がある。CSRBによると、ある連邦閣議機関はこの脆弱性に対応するために、既に3万3000時間を費やしているという。

 Log4jの脆弱性が公表された頃、米政府は企業に向け、サイバー攻撃に対して厳戒体制を採るよう警告した。ただ、この脆弱性を狙う攻撃は発生したものの、当初に危惧されていたほど深刻なものとはなっていない。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  2. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  4. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]