脆弱性対策ベンダーが「Log4Shell」を「最悪の脆弱性」と評価した理由

さらに「もっとも重大な脆弱性」と評したことについては、「Log4Shell」が過去10年間に公開された「Heartbleed」「Shellshock」と比較されることも多いが、概念実証が利用可能で悪用も容易であることを踏まえると、より深刻だとしている。

ライブラリを組み込んだ製品、サービス、デバイスは多数ある一方で、一元的にアップデートする方法がなく、アップデートが行きわたるまでに時間がかかることも同氏は問題視した。

「ライブラリを使用するIoT機器などへ及ぼす攻撃の影響は、まだあまり把握されていない」とし、「セキュリティアップデートを受けられない場合があることにくわえ、
セキュリティアップデートを適用するのはさらに難しい」と悲観的だ。

「正直なところ、この脆弱性の影響を完全に把握できるのはかなり先のことになる」と同氏は語り、問題を解決する特効薬となる製品も存在せず、「Log4Shell」によってもたらされる脅威を排除するには、防御策の回避など時間とともに変化する脅威を見極めていく必要があると述べた。

一方、すべてのケースをカバーできるわけではないと前置きしつつも、容易に攻撃を達成できる標的を狙う攻撃者にとって、「ウェブアプリケーションファイアウォール（WAF）」や「IPS（不正侵入防止システム）」の活用は、組織を防御する際に非常に有効であるとの見方も同時に示している。

（Security NEXT - 2021/12/22 ）ツイート