話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。
Javaのログ出力ライブラリ「Apache Log4j」の脆弱(ぜいじゃく)性「CVE-2021-44228」は、その存在が公になる前から攻撃に悪用されていたことが分かった。
「Log4Shell」として知られるこの脆弱性は、Apache Log4jを開発したApache Software Foundation によって2021年12月9日(米国時間)に公表された。Log4Shellは標的のシステムに入り込み不正のコードを実行するといった攻撃に使われている。その攻撃活動が始まったのは2021年12月9日よりも前だ。
さまざまな企業でApache Log4jが広く利用されていることから、Log4Shellは極めて危険な脆弱性だと専門家はみる。共通脆弱性評価システム「CVSS」(Common Vulnerability Scoring System)はLog4Shellの深刻度を、「緊急」に相当するスコア「10.0」と評価している。
セキュリティベンダーCloudflareのマシュー・プリンスCEO(最高経営責任者)は、Log4Shellの存在が公表される前から、この脆弱性が攻撃に悪用されていたことを確認したと言う。同氏によれば、Cloudflareが最初に発見したLog4Shell関連の攻撃は2021年12月1日の午前4時36分50秒(協定世界時)だった。ただし公表前の大規模な攻撃は確認していないとプリンス氏は説明する。
Log4Shellが広く知られるようになったのは、ハンドルネーム「p0rz9」を使った匿名のセキュリティ研究者が短文投稿サイト「Twitter」で、攻撃の概念実証(PoC)コードへのリンクを共有したことがきっかけだ。その後、Cloudflareやニュージーランドのセキュリティ専門家部隊が、Log4Shellを悪用した攻撃を報告した。
Apache Software Foundationは米TechTargetに対し、Log4Shellを巡る動きの時系列(全て米国時間)を次のように説明した。同団体によると、最初にLog4Shellの報告を受けたのは2021年11月24日だった。
Log4Shellを悪用した攻撃活動を、Cisco Systemsは2021年12月2日に見つけていたという。Cisco Systems傘下のセキュリティベンダー、Kenna Securityは同社の脆弱性評価システムにおいてLog4Shellの深刻度を100点中93点と評価している。同システムで93点以上が付けられた脆弱性は1%未満だとKenna Securityは説明する。
Cisco Systemsでサイバー脅威のシニア研究員を務めるビトール・ベンチュラ氏はLog4Shellについて「簡単に不正のコード実行を可能にするので、『最悪』に近い脆弱性だ」と述べる。Apache Log4jが企業のシステムで多岐にわたって利用されているため、企業はシステム全体を対象に防御策を講じる必要があるとベンチュラ氏はみる。
新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...