米国の国土安全保障省:Hack DHS バグバウンティ・プログラムを Log4j に拡大

‘Hack DHS’ bug bounty program expands to Log4j security flaws

2021/12/22 BleepingComputer — 米国の国土安全保障省 (Department of Homeland Security : DHS) は、Log4j の脆弱性の影響を受けた DHSシステムを追跡してくれるバグバウンティ・ハンターにも、Hack DHS プログラムを開放することを発表した。

DHS の長官である Alejandro N. Mayorkas は、「最近に発見された Log4j の脆弱性に対応して、@DHSgov は #HackDHS バグバウンティ・プログラムの範囲を拡大し、我々のシステムにおける Log4j 関連の脆弱性を発見して、パッチを適用するための追加のインセンティブを含む」とツイートした。そして、「選抜されたハッカーたちとのパートナーシップにより、連邦政府は全国のシステムの安全を確保し、共通のサイバー回復力を高めていく」と付け加えている。

先週に発表された Hack DHS バグバウンティ・プログラムは、認定されたサイバー・セキュリティ研究者が、DHS の外部システムの脆弱性を発見/報告することが可能であり、報告されたバグ1件につき最大で $5,000 の報奨金を得るというものである。

このプログラムに登録したハッカーたちは、発見したバグについて、脆弱性の詳細情報/攻撃者が悪用する可能性/脅威アクターが悪用して DHS システムの情報にアクセスする方法などを開示することが求められる。すべての報告されたセキュリティ上の欠陥は、DHS により 48時間以内に検証され、その複雑さに応じて 15日以上をかけて修正される。

セキュリティ脆弱性の開示方針と、バグバウンティ・プログラムの確立を義務付ける SECURE Technology Act が法制化されたことで、2019年に DHS は最初のバグバウンティ・パイロット・プログラムを開始した。

今回の Hack DHS プログラムの拡大決定は、金曜日に CISA が発行した、積極的に悪用されている深刻なバグ Log4Shell に対して、12月23日までパッチを当てるよう、連邦民間行政機関に命じた緊急指令を受けてのものだ。また、連邦政府機関は、12月28日までの5日間で、環境に影響を及ぼす Java 製品について、アプリ名/ベンダー名/バージョン/悪用を阻止するために行った措置などを報告するよう求められている。

CISA は、Log4Shell の欠陥について、ベンダーや影響を受ける組織へ向けた、パッチ情報をまとめた専用ページを用意している。また、今日には、脆弱なアプリを見つけるための Log4j スキャナーを公開した。

さらに CISA は、世界中のサイバー・セキュリティ機関や、米国連邦機関と共同で、セキュリティ上の欠陥である CVE-2021-44228/CVE-2021-45046/CVE-2021-45105 への対応に関する、緩和策をまとめた勧告を発表した。

12月16日に「米国の国土安全保障省がバグバウンティを実施:Hack DHS プログラムとは?」という記事をポストしましたが、このプログラアムが Log4j 対応に拡大されたという話です。Log4j は、世界中の研究者たちに注目されているので、DHS のシステムにおける Log4Shell の悪用を、Hack DHS で抽出したいのだろうと思います。→ Log4j まとめページ

%d bloggers like this: