Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米英豪など共同で「Log4j脆弱性」について注意喚起 - 産業制御機器でも対策を

ログ記録ライブラリ「Apache Log4j」に複数の脆弱性が明らかとなった問題で、米国やイギリスなどをはじめ、各国の政府セキュリティ機関が共同で注意喚起を行った。

別名「Log4Shell」とも呼ばれる「CVE-2021-44228」や「CVE-2021-45046」「CVE-2021-45105」など複数の脆弱性が判明し、容易に悪用が可能ですでに攻撃も発生しているが、今後さらに悪用が増加して長期間継続する可能性もあるとして共同で注意喚起を行ったもの。高度な手法を用いる攻撃者による積極的な探索行為も観測されているという。

アドバイザリの共同発行には、米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)をはじめ、イギリス国家サイバーセキュリティセンター(NCSC)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランドサイバーセキュリティセンター(NZ NCSC)、ニュージランドCERTなどが参加した。

CISAでは、今回のアドバイザリに先立ち、ガイダンスや米行政機関に対する緊急指令を発行して対応を求めてきたが、今回の共同アドバイザリであらためて脆弱性を持つIT資産の特定、アップデートのリリース状況の継続的な確認、アップデートの実施、悪用の検出など、対策を講じるよう呼びかけた。

同アドバイザリでは、インターネットに接続するデバイスへの対応を優先するよう求めており、インターネットより分離されている場合は影響が少なくなるが、産業制御機器でも多くの製品に「Apache Log4j」が実装されており、セグメント化が甘いとラテラルムーブメントによって攻撃対象となるおそれもあると指摘。OT機器やICS機器の利用者や運用者に対してもガイダンスを示し、対策を講じるよう求めた。

運用するシステムのアーキテクチャを確認して脆弱性の影響を確認し、製造元が提供するアップデートや緩和策を実行したり、ネットワーク分離のほか、アドバイザリが提供されていない場合なども、追加の保護など実施するよう注意を喚起している。

(Security NEXT - 2021/12/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

SAP、月例アドバイザリを公開 - 多数製品で「Log4Shell」に対応
米FTC、「Log4j」問題で企業に警告 - 放置による事故は責任を追求
「Apache Log4j」にあらたな脆弱性 - アップデートがリリース
CrowdStrike、「Log4j」の無料検索ツールを公開 - 複数OS向けに用意
トレンドがLog4Shell無料診断ツール - エンドポイントとウェブアプリに対応
Intelの24製品に「Apache Log4j」 - 23製品でパッチ提供済み
MS、「Apache Log4j」でセキュリティアドバイザリ - 8製品にアップデート
「Java 7」「同6」環境向けにも「Apache Log4j」の脆弱性修正版
NVIDIA、一部製品に「Log4Shell」の脆弱性 - アップデートをリリース
オンライン会議の「Zoom」、「Apache Log4j」脆弱性の影響を公表