Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米英豪など共同で「Log4j脆弱性」について注意喚起 - 産業制御機器でも対策を

ログ記録ライブラリ「Apache Log4j」に複数の脆弱性が明らかとなった問題で、米国やイギリスなどをはじめ、各国の政府セキュリティ機関が共同で注意喚起を行った。

別名「Log4Shell」とも呼ばれる「CVE-2021-44228」や「CVE-2021-45046」「CVE-2021-45105」など複数の脆弱性が判明し、容易に悪用が可能ですでに攻撃も発生しているが、今後さらに悪用が増加して長期間継続する可能性もあるとして共同で注意喚起を行ったもの。高度な手法を用いる攻撃者による積極的な探索行為も観測されているという。

アドバイザリの共同発行には、米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)をはじめ、イギリス国家サイバーセキュリティセンター(NCSC)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランドサイバーセキュリティセンター(NZ NCSC)、ニュージランドCERTなどが参加した。

CISAでは、今回のアドバイザリに先立ち、ガイダンスや米行政機関に対する緊急指令を発行して対応を求めてきたが、今回の共同アドバイザリであらためて脆弱性を持つIT資産の特定、アップデートのリリース状況の継続的な確認、アップデートの実施、悪用の検出など、対策を講じるよう呼びかけた。

同アドバイザリでは、インターネットに接続するデバイスへの対応を優先するよう求めており、インターネットより分離されている場合は影響が少なくなるが、産業制御機器でも多くの製品に「Apache Log4j」が実装されており、セグメント化が甘いとラテラルムーブメントによって攻撃対象となるおそれもあると指摘。OT機器やICS機器の利用者や運用者に対してもガイダンスを示し、対策を講じるよう求めた。

運用するシステムのアーキテクチャを確認して脆弱性の影響を確認し、製造元が提供するアップデートや緩和策を実行したり、ネットワーク分離のほか、アドバイザリが提供されていない場合なども、追加の保護など実施するよう注意を喚起している。

(Security NEXT - 2021/12/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
2021年に悪用多かった脆弱性トップ15 - 首位は「Log4Shell」、VPNも引き続き標的に
「Log4Shell」緩和する「ホットパッチ」にホスト乗っ取りが可能となる脆弱性
「Spring Core」にゼロデイ脆弱性「Spring4Shell」の指摘
SAP、月例セキュリティパッチ11件を新規リリース - 重要度「Hot News」の脆弱性も
マルウェア減るもランサムウェアは前年から倍増
SAP、2月の月例パッチを公開 - 重要度高い脆弱性を修正
IPA、「情報セキュリティ10大脅威 2022」を発表 - 「ゼロデイ攻撃」が新規ランクイン
「Log4Shell」の診断サービスを期間限定で - セキュアブレイン
「VAddy」の「Log4Shell」診断、無料試用でも - 1月末まで