Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する

Log4j Software Flaw ‘Endemic,’ New Cyber Safety Panel Says

2022/07/14 SecurityWeek — ジョー・バイデン大統領が設立した、新しい Cyber Safety Review Board によると、昨年に発見された、どこにでもあるソフトウェアに存在する脆弱性は、潜在的に 10年以上にわたってセキュリティ・リスクをもたらす風土病のようなものになるという。木曜日の報告書で、このサイバー安全審査委員会は、Log4j の脆弱性 CVE-2021-44228 による大規模なサイバー攻撃の兆候はないが、今後の数年間は悪用され続けるだろうと述べている。

同委員会の議長であり、国土安全保障省 (DHS) の次官である Rob Silvers は、「Log4j は、歴史上、最も深刻なソフトウェア脆弱性の一つである」と、水曜日に記者団に語った。



昨年末に公表された Log4j の欠陥は、インターネットを利用する攻撃者が、産業用制御システムから Web サーバや家電製品にいたるまで、あらゆるものを簡単に制御できるようにする、ソフトウェアの脆弱性である。この欠陥が悪用されたとする、最初の明白な兆候は、Microsoft が所有する大人気のオンラインゲーム Minecraft に現れた。

この欠陥の発見により、政府高官による緊急警告が出され、脆弱なシステムへのパッチ適用に向けた大規模な取り組みが、サイバー・セキュリティの専門家たちにより行われた。

木曜日に同委員会は、「やや意外なことに、Log4j バグの悪用は、専門家の予測よりも低いレベルで発生した。重要なインフラ・システムに対する、重大な Log4j 攻撃は認識されていないが、報告されないサイバー攻撃もあるはずだ」と指摘している。

同委員会は、Log4j は日常的なソフトウェアに組み込まれており、組織のシステムで動作している Log4j を見つけ出すのが難しいため、今後に攻撃が発生する可能性は高いと述べている。

Rob Silvers の見解:このインシデントは終わっていない

Log4j は、プログラミング言語 Java で書かれ、コンピューター上のユーザーの行動を記録ための機能を提供している。オープンソースの Apache Software Foundation の支援のもと、一握りのボランティアにより開発/保守されているが、商用ソフトウェアの開発者にもとても人気がある。

中国のハイテク大手 Alibaba のセキュリティ研究者が、11月24日に同団体に、この問題の発見を通知した。そして、修正プログラムの開発/公開に2週間が費やされた。中国メディアは、国家当局に対して Alibaba が、迅速な報告を怠ったことで、政府に罰せられたと報じた。

木曜日に同理事会は、中国政府の脆弱性開示に関する方針に「厄介な要素」を見つけたと述べている。具体的には、企業秘密の窃盗や反体制派へのスパイ行為に悪用できるコンピューターの欠陥を、中国の国家支援のハッカーに対して優先的に開示する可能性があると指摘した。中国政府は、以前からサイバース・ペースでの不正行為を否定しており、ソフトウェアの脆弱性に関して、情報共有の改善を奨励していると、同理事会に述べている。

理事会は、Log4j 欠陥の影響を軽減し、一般的なサイバー・セキュリティを向上させるために、多くの提言を行ってきた。その中には、大学やコミュニティ・カレッジが、コンピューター・サイエンスの学位や資格取得プログラムに、サイバー・セキュリティのトレーニングを必須とするよう提案することも含まれている。

サイバー安全審査委員会は、飛行機事故などの重大事故を審査する国家運輸安全委員会をモデルとしており、2021年5月にバイデン氏が署名した大統領令により設立されたものである。この、15人の委員で構成される委員会には、FBI や NSA などの政府関係者のほか、民間企業の関係者も参加している。新委員会の支持者の中には、DHSがこの委員会の立ち上げに、DHS が時間をかけすぎたと批判する者もいる。

バイデン大統領令は、同委員会に対して、SolaWinds に対するロシアの大規模なサイバースパイ活動について、最初の審査を行うよう指示した。ロシアのハッカーたちは、DHS のサイバー・セキュリティ高官のアカウントを含む、いくつかの連邦政府機関に侵入したが、このキャンペーンによる全体的な影響は依然として不明である。

Silvers によると、DHS とホワイトハウスは、Log4j の欠陥を検証することが、新しい委員会の専門知識と時間の、より合理的な使い方であることに合意したという。

Log4j の脆弱性 (Log4Shell) ですが、発見された当初の心配をよそに、それほどの被害が生じることもなくエンデミックへと向かうようで、ホッとされている方も多いのではないかと思います。そして、この脆弱性のおかかげで、多くの学びがあったことも忘れてはなりません。その最たるものは、パッチを当てようにも、その Log4j が何処にあるのかが分からないという問題でしょう。つまり、何処かの時点から、Log4j 問題は、セキュリティではなくインベントリの問題へと変容したように思えます。また、Alibaba のセキュリティ研究者が機転を利かしてくれなかったら、どのような状況に陥っていたのかも、推測しておく必要があるでしょう。→ Log4j まとめページ

%d bloggers like this: