「Apache Log4j」の脆弱性「Log4Shell」の攻撃は専門家も驚くほどの勢いを見せ、企業を狙っている。なぜ、これほど猛烈なのか。企業はどうすればいいのか。
「Log4Shell」として知られる、Javaのログ出力ライブラリ「Apache Log4j」の脆弱(ぜいじゃく)性「CVE-2021-44228」の悪用が活発化している。セキュリティベンダーArmisの最高技術責任者(CTO)、ナディール・イズラエル氏は、2021年12月に公表されたLog4Shellについて「攻撃が拡大する速度と規模は他の脆弱性と比べて尋常ではない」と述べる。
Armisは同社製品のユーザー企業のうち、約3割がLog4Shellを悪用した攻撃の的になり得るとみている。セキュリティ専門家は、ハッカーがLog4Shellによって企業のシステムに入り込んで任意のコードを実行するといった攻撃が発生していると説明する。セキュリティ研究者のグレッグ・リナレス氏によれば、2021年12月15日早朝(現地時間)には、Log4Shellを使った攻撃の試みは毎分約3400回だった。中には、情報窃盗やランサムウェア(身代金要求型マルウェア)の拡散を狙った攻撃もあったとリナレス氏は言う。
Log4Shellを使った攻撃の勢いの理由として、イズラエル氏はApache Log4jが企業の間で広く使われていることと、Log4Shellの悪用のしやすさが重なっていることを挙げている。Log4Shellによる攻撃は大規模なデータ流出につながりかねないため、同氏は企業に対してすぐに対策を講じるよう呼び掛けている。
これまで、Log4Shellによる攻撃は主にインターネットに接しているサーバを標的としてきた。Armisによれば、今後はIoT(モノのインターネット)デバイスを狙った攻撃も増える可能性がある。同社は産業用デバイスや監視カメラ、一般消費者のWebカメラなど、さまざまなIoTデバイスに注意が必要だとみている。
2021年12月中旬、Log4Shellの発見から約1週間後にApache Log4jの2つ目の脆弱性「CVE-2021-45046」が見つかった。CVE-2021-45046はLog4Shellから派生した脆弱性で、「Apache Log4j 2.15.0」をインストールした一部のシステムに存在する。この脆弱性はLog4Shellと比べて大規模な攻撃のリスクは低いものの、DoS(サービス拒否)攻撃に悪用される恐れがあるという。企業はApache Log4jを最新版「Apache Log4j 2.16.0」に更新すれば、Log4ShellとCVE-2021-45046の両方の対処ができる。
新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ハイブリッドワークの普及に伴い、企業ではリモートアクセスをどう保護するかが課題となっている。注目されるのは、全てのリソースを個別のセキュアな境界で保護する、ゼロトラストネットワークアクセスのアプローチだ。その実現法を探る。
ゼロトラストネットワーキングソフトウェア製品を選定する際は、いくつかのポイントを押さえることが重要になる。本資料は、ビジネスソフトウェアのレビュープラットフォーム「G2」の要約から、そのポイントを解説する。
最新のサイバー攻撃に即座に対応するためには、SOCを従来の在り方から変革することが重要になる。しかし、何をすればよいのか分からないという組織も多い。そこで本資料では、現在のSOCが抱えている5つの課題とその解決策を紹介する。
CISO、SecOpsリーダー、セキュリティアーキテクト、セキュリティアナリストなど、組織のセキュリティを担う担当者は、役割ごとに異なる課題を抱えている。それぞれの課題を整理し、解決につながる製品を選ぶ際のポイントを紹介する。
ITインフラが複雑化し、ポイント製品の組み合わせでは完全な保護が難しくなっている今、注目されているのがXDR(Extended Detection and Response)だ。その特長から選定のポイント、ユースケースまで、分かりやすく解説する。
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...