CISA/FBI/NSA と Five Eyes の共同勧告:Log4Shell 攻撃を遅らせるためのガイダンス

CISA, Five Eyes issue guidance meant to slow Log4Shell attacks

2021/12/22 CyberScoop — 米国の国土安全保障省 (Department of Homeland Security) 傘下の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache の Log4j ソフトウェア・ライブラリに存在する脆弱性により引き起こされる、IT およびクラウド・サービスでの潜在的なリスクに対処する方法について、ベンダーやユーザー組織に対して詳細なガイドを提供するという勧告を発表した。

この CISA の勧告は、これまでに発表されたガイダンスをさらに発展させたものであり、一連の脆弱性がもたらすリスクを低減するために、IT やクラウドの資産を持つベンダーやユーザー組織が取るべき手順を詳細に説明する」というものだ。また、この勧告は、米国の FBI と NSA だけではなく、Five Eyes を構成するオーストラリア/カナダ/ニュージーランド/イギリスのセキュリティ機関と共同で発表されている。

CISA の Director である Jen Easterly は、「Log4j の脆弱性は、世界中の組織や政府にとって、深刻かつ継続的な脅威となっている。今回の注意喚起は、これまでに CISA が実施してきた、脆弱性に対するパッチ適用を求めるガイダンスに継続するものだ。また、先週に米国連邦政府の行政機関が、インターネットに接続するシステムの脆弱性 (Log4Shell) を評価し、12月23日までにパッチ適用もしくは緩和措置を講じるよう求める緊急指令を受けてのものだ」と声明の中で述べている。

このガイダンスでは、Log4Shell に関連する攻撃から、インターネット接続するデバイスやシステムを保護することに重点が置かれている。しかし、Java は IT/OT システム全体に遍在しており、セグメント化されていないネットワークでは、侵入者がシステム間を横方向に移動するリスクがあると警告している。そのため、Log4j を使用している製品は疑わしいものとして扱い、異常な動作を監視するために、パッチ適用の記録を綿密に残すよう警告している。

今回協調する各組織は、「一連の Log4j 脆弱性の中では、特に Log4Shell の悪用が増加し、長期間にわたって継続する可能性が高いと評価している。すべての組織に対して、影響を受ける資産を特定し、問題を緩和し、Log4j を更新していくために、推奨事項の適用を強く要請する」としている。ない、最新の Log4j パッチは 12月18日に発行されている。

これまでに、CISA/FBI/NSA の3組織は、国家が関与するサイバー犯罪者の詳細について、過去における悪意のサイバー活動の記録や対策を含む警告を発表している。

研究者たちは、このバグを悪用するかたちで、ランサムウェア展開や暗号通貨マイニングを試みる攻撃者たちの動きをすでに検知している。また、Mandiant と Microsoft の研究者たちは、中国/北朝鮮/イラン/トルコの政府に関係する、サイバー犯罪者が Log4j の脆弱性を悪用していることを確認している。

文中でも簡単に説明されていますが、WikiPedia で Five Eyes を調べてみると、「オーストラリア/カナダ/ニュージーランド/英国/米国で構成される、英語圏の諜報同盟。これらの国々は、シグナル・インテリジェンスにおける共同協力のための条約である、多国間 UKUSA 協定の締約国」と記されています。Log4Shell に関しては、国家に支援される APT ハッカーの侵入が懸念され、また、「Log4j 脆弱性を悪用する侵入者:ベルギー国防総省のネットワークを侵害」にあるように、すでに攻撃も始まっています。→ Log4j まとめページ

%d bloggers like this: