Log4j騒動のあおり？ MicrosoftやApple製品の重大パッチ適用が後回しされる訳：TechTarget発 世界のITニュース

MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。

[Shaun Nichols，TechTarget]

　2021年12月に公表された、Javaのログ出力ライブラリ「Apache Log4j」の脆弱（ぜいじゃく）性が注目を集めている。そうした中、IT管理者はパッチ（修正プログラム）適用が必要な他の脆弱性に十分に注意を払わない可能性がある。

　MicrosoftやApple、Adobeの大手ITベンダーは2021年12月、自社製品の脆弱性に対処するために、軒並みパッチを公開した。中でもMicrosoft製品に、米国の共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）の深刻度で「重大」と評価された7つの脆弱性が見つかった。ユーザー企業は速やかにパッチを適用する必要がある。

　特に注意しなければならないのは、Windowsのアプリケーションインストーラーに存在する脆弱性「CVE-2021-43890」だ。この脆弱性はマルウェア「Emotet」の拡散など、添付ファイル付きのフィッシングメールを送る攻撃に悪用される恐れがある。

IT部門が悲鳴　Microsoftらの脆弱性にすぐには対処できない“あの理由”

併せて読みたいお薦め記事

脆弱性を巡る最近の動向

• プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは？
• クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”

　今回のMicrosoftなどの製品に見つかった脆弱性は、本来であればユーザー企業がすぐにパッチを適用しなければならないほどの警戒レベルだ。しかしパッチ公開のタイミングが、ユーザー企業がApache Log4jの脆弱性の対処に追われている時期と重なり、パッチ適用が後回しになる恐れがあると専門家は指摘している。

　セキュリティベンダーRapid7の主席セキュリティ研究員を務めるジェイク・ベインズ氏によると、大半のユーザー企業はApache Log4jの脆弱性と今回のMicrosoftなどの製品に見つかった脆弱性の両方に対処するための、十分な人材を確保できていない。そのため、ユーザー企業は注目度が高いApache Log4jの脆弱性への対処を優先し、Microsoftなどの製品の脆弱性対処には当面、手が回らないとベインズ氏はみる。

　ベインズ氏によれば、Apache Log4jは企業の間で広範囲にわたって使われているため、脆弱性の影響について正確に把握するのに時間がかかる。ユーザー企業がいつApache Log4jの脆弱性への対処を終えて、人員を他の仕事に回せるようになるかは現時点で見えていないと同氏は言う。

　トレンドマイクロが運営する脆弱性発見コミュニティー「Zero Day Initiative」のコミュニケーションマネジャー、ダスティン・チャイルズ氏は、「企業幹部はApache Log4jの脆弱性への対処を重視する傾向がある」と説明。しかし実際には、今回のMicrosoftなどの製品で発見された脆弱性の方が、攻撃を招くリスクが高いと同氏はみている。

　「IT管理者は脆弱性のリスク評価を経営陣に明確に伝え、リスクの高い脆弱性から優先的に対策を講じられるよう理解を得る必要がある」（チャイルズ氏）

TechTarget発　世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。