CISA の Log4j 対策:Log4Shell による被害の範囲と深刻さを把握したい

CISA probes scope, potential fallout of Log4j vulnerability

2021/12/14 CyberScoop — この火曜日に、米政府のサイバー担当トップが語ったところによると、Cybersecurity and Infrastructure Security Agency (CISA) では、Apache Log4j の脆弱性を悪用したハッカーによる連邦政府機関への危害を確認していないが、この脆弱性を原因とする広範な攻撃を依然として恐れているという。

CISA の Eric Goldstein は、火曜日の夜に電話で話した際に、政府が作成する包括的な製品リストは、この脆弱性をハッカーが悪用する可能性のある、すべての製品を網羅するものであり、一般からの協力を切望していると語っていた。この脆弱性は、広く普及しているロギング・ライブラリに存在する、Log4Shell として知られており、数億台以上のデバイスに影響を与える可能性があると、CISA は予想している。

CISA や民間のサイバー・セキュリティ調査機関は、いまのところ猛威を奮っていない潜在的な影響について、あり得ないほどの深刻な言葉を発している。しかし、そのような未知の可能性があるからこそ、企業に対してパッチを当てるなどのセキュリティ対策を講じるよう、CISA は呼びかけているのだ。

国土安全保障省 (Department of Homeland Security) の下部組織 CISA の Executive Assistant Director である Eric Goldstein は、「この脆弱性の性質や、有りふれた悪用の可能性、そして、企業/消費者/IoT 製品に広く存在している状況などを考慮すべきだ。ここで重視しているのは、あらゆる種類の脅威アクターが、この脆弱性を悪用して、さまざまな種類の攻撃を行い、また、さまざまな悪意の目的を達成しようとする可能性を認識した上で、全体的な緩和策を推進することだ」と述べている。

Goldstein は、「この脆弱性を利用して、攻撃者は標的となるネットワークに深く入り込む可能性があり、情報流出などの有害な攻撃を行うかもしれない」と述べている。CISAは、連邦機関への感染は確認されていないと言う。そして、国家安全保障/経済/公衆衛生に深刻な影響を与える可能性のある、国家の重要機能への影響も確認されていないと言う。しかし CISA は、Log4j の脆弱性への対応を、各連邦機関に指示している。

CISA の警告以外にも、注目していく必要がある。まず、ハッカーたちが Log4Shell の掌握へと向けて、動いている兆候がある。月曜日に Bitdefender は、この脆弱性に関連して、Khonsari という新たなランサムウェア・ファミリーが出現したと発表した。また、Mandiant の Senior VP and CTO である Charles Carmakal は、中国政府と関係のあるハッカーたちが、この欠陥を悪用していると述べている。

Goldstein によると、中国の攻撃者に関する Mandiant の指摘について、CISA は検証しておらず、また、Khonsari についての情報もないと言う。火曜日に Mandiant は、中国とイランの政府系ハッカーたちが、この脆弱性を悪用しており、さらなる活動の足がかりを作るために、ターゲットの “wish list” をもとに、作業を進めていると発表した。

彼は、「この脆弱性を悪用するイランのハッカーたちは、特に攻撃的であり、金銭的な利益よりも破壊的な目的により、ランサムウェアの運用に参加してる。また、彼らは、伝統的なサイバースパイ活動にも関わっている」と述べている。

CISA は、Log4j の脆弱性に関連する、ソフトウェアのリストを既に作成している。Goldstein は、「我々の重要な取り組みの1つは、影響を受ける製品の完全かつ包括的なリストを確保することだ。そこで、セキュリティ研究者やサイバー・コミュニティへ向けて、広く行動を呼びかけることにした。脆弱性のある製品のリストを作成している、GitHub のページにアクセスしてほしい。もし、脆弱性があると思われる製品を見つけて、その製品がページに掲載されていない場合には、そのような製品に関する情報を、通知するページも用意されている」と述べている。

この記事が出た、米時間 12月14日の時点では、連邦政府機関における被害は確認していませんが、さまざまな攻撃が準備されているような雰囲気ですね。また、ランサムウェア Khonsari についても情報がないとのことですが、昨日の「Log4Shell 攻撃で最初のランサムウェアを検出:Khonsari はワイパー型マルウェアかも?」では、身代金メモについてまで言及されているので、なんらかの動きがあるのだと推測できますね。→ Log4j まとめページ

%d bloggers like this: