MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。
2021年12月に公表された、Javaのログ出力ライブラリ「Apache Log4j」の脆弱(ぜいじゃく)性が注目を集めている。そうした中、IT管理者はパッチ(修正プログラム)適用が必要な他の脆弱性に十分に注意を払わない可能性がある。
MicrosoftやApple、Adobeの大手ITベンダーは2021年12月、自社製品の脆弱性に対処するために、軒並みパッチを公開した。中でもMicrosoft製品に、米国の共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)の深刻度で「重大」と評価された7つの脆弱性が見つかった。ユーザー企業は速やかにパッチを適用する必要がある。
特に注意しなければならないのは、Windowsのアプリケーションインストーラーに存在する脆弱性「CVE-2021-43890」だ。この脆弱性はマルウェア「Emotet」の拡散など、添付ファイル付きのフィッシングメールを送る攻撃に悪用される恐れがある。
今回のMicrosoftなどの製品に見つかった脆弱性は、本来であればユーザー企業がすぐにパッチを適用しなければならないほどの警戒レベルだ。しかしパッチ公開のタイミングが、ユーザー企業がApache Log4jの脆弱性の対処に追われている時期と重なり、パッチ適用が後回しになる恐れがあると専門家は指摘している。
セキュリティベンダーRapid7の主席セキュリティ研究員を務めるジェイク・ベインズ氏によると、大半のユーザー企業はApache Log4jの脆弱性と今回のMicrosoftなどの製品に見つかった脆弱性の両方に対処するための、十分な人材を確保できていない。そのため、ユーザー企業は注目度が高いApache Log4jの脆弱性への対処を優先し、Microsoftなどの製品の脆弱性対処には当面、手が回らないとベインズ氏はみる。
ベインズ氏によれば、Apache Log4jは企業の間で広範囲にわたって使われているため、脆弱性の影響について正確に把握するのに時間がかかる。ユーザー企業がいつApache Log4jの脆弱性への対処を終えて、人員を他の仕事に回せるようになるかは現時点で見えていないと同氏は言う。
トレンドマイクロが運営する脆弱性発見コミュニティー「Zero Day Initiative」のコミュニケーションマネジャー、ダスティン・チャイルズ氏は、「企業幹部はApache Log4jの脆弱性への対処を重視する傾向がある」と説明。しかし実際には、今回のMicrosoftなどの製品で発見された脆弱性の方が、攻撃を招くリスクが高いと同氏はみている。
「IT管理者は脆弱性のリスク評価を経営陣に明確に伝え、リスクの高い脆弱性から優先的に対策を講じられるよう理解を得る必要がある」(チャイルズ氏)
新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
企業のSNS活用実態 最も使われているのはX? Instagram?
企業はSNSをどのように活用しているのか。調査PRサービスを提供するPRIZMAが、最も使われ...
日本のモバイルアプリトレンド2025 クロスデバイス戦略とMMMの重要性とは?
急速に進化するモバイルアプリ市場においてAIと機械学習の活用が本格化し、マーケティン...
中国政府がTikTok売却先としてイーロン・マスク氏に白羽の矢? うわさの真相は……
米国で禁止か売却か――。判断が迫られるTikTokに驚きの選択肢が浮上した。売却先の一つ...