2022年01月28日 05時00分 公開
特集/連載

Log4j騒動のあおり? MicrosoftやApple製品の重大パッチ適用が後回しされる訳TechTarget発 世界のITニュース

MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。

[Shaun Nichols,TechTarget]

関連キーワード

脆弱性 | 脆弱性対策 | サイバー攻撃


 2021年12月に公表された、Javaのログ出力ライブラリ「Apache Log4j」の脆弱(ぜいじゃく)性が注目を集めている。そうした中、IT管理者はパッチ(修正プログラム)適用が必要な他の脆弱性に十分に注意を払わない可能性がある。

 MicrosoftやApple、Adobeの大手ITベンダーは2021年12月、自社製品の脆弱性に対処するために、軒並みパッチを公開した。中でもMicrosoft製品に、米国の共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)の深刻度で「重大」と評価された7つの脆弱性が見つかった。ユーザー企業は速やかにパッチを適用する必要がある。

 特に注意しなければならないのは、Windowsのアプリケーションインストーラーに存在する脆弱性「CVE-2021-43890」だ。この脆弱性はマルウェア「Emotet」の拡散など、添付ファイル付きのフィッシングメールを送る攻撃に悪用される恐れがある。

IT部門が悲鳴 Microsoftらの脆弱性にすぐには対処できない“あの理由”

 今回のMicrosoftなどの製品に見つかった脆弱性は、本来であればユーザー企業がすぐにパッチを適用しなければならないほどの警戒レベルだ。しかしパッチ公開のタイミングが、ユーザー企業がApache Log4jの脆弱性の対処に追われている時期と重なり、パッチ適用が後回しになる恐れがあると専門家は指摘している。

 セキュリティベンダーRapid7の主席セキュリティ研究員を務めるジェイク・ベインズ氏によると、大半のユーザー企業はApache Log4jの脆弱性と今回のMicrosoftなどの製品に見つかった脆弱性の両方に対処するための、十分な人材を確保できていない。そのため、ユーザー企業は注目度が高いApache Log4jの脆弱性への対処を優先し、Microsoftなどの製品の脆弱性対処には当面、手が回らないとベインズ氏はみる。

 ベインズ氏によれば、Apache Log4jは企業の間で広範囲にわたって使われているため、脆弱性の影響について正確に把握するのに時間がかかる。ユーザー企業がいつApache Log4jの脆弱性への対処を終えて、人員を他の仕事に回せるようになるかは現時点で見えていないと同氏は言う。

 トレンドマイクロが運営する脆弱性発見コミュニティー「Zero Day Initiative」のコミュニケーションマネジャー、ダスティン・チャイルズ氏は、「企業幹部はApache Log4jの脆弱性への対処を重視する傾向がある」と説明。しかし実際には、今回のMicrosoftなどの製品で発見された脆弱性の方が、攻撃を招くリスクが高いと同氏はみている。

 「IT管理者は脆弱性のリスク評価を経営陣に明確に伝え、リスクの高い脆弱性から優先的に対策を講じられるよう理解を得る必要がある」(チャイルズ氏)

TechTarget発 世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。

ITmedia マーケティング新着記事

news072.jpg

超リッチなイーロン・マスク氏の「言論の自由」は、あなたのそれと同じなのか?
Twitter買収の大義名分とされる「言論の自由」。しかし、同じことを語っているつもりでも...

news204.jpg

新卒の営業職が仕事をやりたくない時期、最多は「5月」 ―― RevComm調査
新卒営業社員は5月に最初の「壁」を感じるようです。

news069.jpg

「メタバース」でどうやってもうけるの? Meta(旧Facebook)が考える収益化への道
Metaの中核をなすメタバースプラットフォームのマネタイズ計画が明確になりつつある。高...