Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米英豪など共同で「Log4j脆弱性」について注意喚起 - 産業制御機器でも対策を

ログ記録ライブラリ「Apache Log4j」に複数の脆弱性が明らかとなった問題で、米国やイギリスなどをはじめ、各国の政府セキュリティ機関が共同で注意喚起を行った。

別名「Log4Shell」とも呼ばれる「CVE-2021-44228」や「CVE-2021-45046」「CVE-2021-45105」など複数の脆弱性が判明し、容易に悪用が可能ですでに攻撃も発生しているが、今後さらに悪用が増加して長期間継続する可能性もあるとして共同で注意喚起を行ったもの。高度な手法を用いる攻撃者による積極的な探索行為も観測されているという。

アドバイザリの共同発行には、米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)をはじめ、イギリス国家サイバーセキュリティセンター(NCSC)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランドサイバーセキュリティセンター(NZ NCSC)、ニュージランドCERTなどが参加した。

CISAでは、今回のアドバイザリに先立ち、ガイダンスや米行政機関に対する緊急指令を発行して対応を求めてきたが、今回の共同アドバイザリであらためて脆弱性を持つIT資産の特定、アップデートのリリース状況の継続的な確認、アップデートの実施、悪用の検出など、対策を講じるよう呼びかけた。

同アドバイザリでは、インターネットに接続するデバイスへの対応を優先するよう求めており、インターネットより分離されている場合は影響が少なくなるが、産業制御機器でも多くの製品に「Apache Log4j」が実装されており、セグメント化が甘いとラテラルムーブメントによって攻撃対象となるおそれもあると指摘。OT機器やICS機器の利用者や運用者に対してもガイダンスを示し、対策を講じるよう求めた。

運用するシステムのアーキテクチャを確認して脆弱性の影響を確認し、製造元が提供するアップデートや緩和策を実行したり、ネットワーク分離のほか、アドバイザリが提供されていない場合なども、追加の保護など実施するよう注意を喚起している。

(Security NEXT - 2021/12/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

2022年に悪用が目立った脆弱性トップ12 - 2021年以前の脆弱性も引き続き標的に
「WebLogic」など既知脆弱性3件に対する攻撃に注意喚起 - 米政府
2022年はランサム攻撃が前年比21%減 - 後半で増加傾向も
米政府、ソフトウェアサプライチェーン保護のガイダンスを公開
「Apache Commons Text」に脆弱性「Text4Shell」 - 冷静な対応を
米政府、中国関与のサイバー攻撃者が悪用する脆弱性のリストを公開 - 国内製品も
国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
2021年に悪用多かった脆弱性トップ15 - 首位は「Log4Shell」、VPNも引き続き標的に
「Log4Shell」緩和する「ホットパッチ」にホスト乗っ取りが可能となる脆弱性
「Spring Core」にゼロデイ脆弱性「Spring4Shell」の指摘