CISA の Log4j ブリーフィング:現時点で深刻な被害を受けた連邦政府機関は無い

CISA Unaware of Any Significant Log4j Breaches in U.S.

2022/01/11 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) だが、先日に公開された Log4j の脆弱性に関連した深刻な侵害について、現在のところ検知していないと述べている。月曜日に行われたメディアへのブリーフィングで、CISA の Director である Jen Easterly と、Executive Assistant Director for Cybersecurity である Eric Goldstein は、深刻なインシデントは検知していないと述べている。これは、数多くの組織が迅速に対応した結果だと思われる。

その一方で、CISA の関係者は、悪意の行為者が Log4Shell と呼ばれる Log4j の脆弱性を、悪用する可能性は高いと警告している。また、脅威アクターたちは、すでに Log4Shell を悪用して主要な組織のシステムにアクセスしているかもしれない。そして、初期段階のアクセスを活用して目的を達成する、適切なタイミングを図っている可能性もある。

Jen Easterly は、2017年における Equifax の大規模な侵害を指摘した。そのときは、Apache Struts の既知の脆弱性を、ハッカーたちが悪用し始めた数か月後に明らかになった。また、最近では FTC が、Equifax のインシデントを事例として挙げている。今月の初めに FTC は、Log4j の欠陥の悪用により深刻なデータ漏洩に至った場合、企業が法的措置を受ける可能性があると警告している。

Log4Shell は、世界中の何百万ものシステムに影響を与え、また、何千ものプロダクトにも影響を与えている。また、利益を追求するサイバー犯罪者と国家が支援する脅威アクターの両方により、多くの攻撃に悪用されている。しかし、CISA は 12月下旬の SecurityWeek の取材に対して、連邦政府機関が被害に遭っていることは検知していないと述べており、それは今も変わっていないようだ。

現在までに、Log4Shell 攻撃で侵入された重要インフラ組織はないようだが、CISA の関係者は、この脆弱性が重要インフラに対して悪用される可能性を懸念している。CISA によると、連邦機関は 12月23日までに、この脆弱性にパッチを当てるよう命じられており、少なくとも大規模な機関は期限を守っているという。Log4Shell が悪用された結果として、侵害を受けたことを確認した政府機関は、現時点ではベルギー軍だけのようだ。また、中国のサイバー犯罪組織 Aquatic Panda が、Log4Shell を悪用して大規模な学術機関を侵害していたという報告もある。

つい先日に「英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている」という記事をポストしました。ただし、NHS は、「攻撃といっても、おそらく偵察段階であり、攻撃者は Log4Shell ペイロードを介して Java Naming and Directory InterfaceTM (JNDI) を使用し、悪意のインフラへ向けてコールバックさせている」と述べているようです。また、文中にもあるようにベルギー国防総省のネットワークが侵害されたようですが、そのネットワークの一部が停止したと伝えられています。→ Log4j まとめページ

%d bloggers like this: