世界の対応で分かる、Log4jの脅威の深刻さ

サイバーセーフティ審査委員会によれば、Log4jは最も衝撃的なセキュリティ脅威の一つであり、将来にわたって影響が残るという。

[David Jones，Cybersecurity Dive]

　米国のCSRB（サイバーセーフティ委員会）2人の主要メンバーは2022年8月10日、ラスベガスで開催されたBlack Hat USAカンファレンスでLog4j脆弱（ぜいじゃく）性の初回調査を賞賛した。

　CSRBの議長であるロバート・シルバーズ氏（国土安全保障省の戦略、政策、計画担当次官）は、「Log4jは委員会が2022年2月に実施した最初の調査テーマとして適していた」と述べる。Log4jは、2021年12月に公開されたばかりのインシデントで、多くの関係者、特にオープンソースコミュニティーに大きな影響を与えた。

　委員会は、約80にのぼる世界各国のさまざまな利害関係者から協力を得た。伝統的な西側の同盟国から中華人民共和国の政府関係者に至るまで、複数の外国政府からの情報が含まれる。シルバーズ氏は、「官民がLog4jの調査に対して驚くべきレベルでコミットした」と述べている。

まだまだ続く「Log4j」の恐怖

　DHS（国土安全保障省）が2022年2月に設立したCSRBは（注1）、国家のサイバーセキュリティインフラを強化し、相次ぐサイバー攻撃から身を守るためのバイデン政権肝入りの組織だ。2020年のSolarWindsのサプライチェーン攻撃、2021年5月のColonial Pipelineに対するランサムウェア攻撃といった大規模な攻撃に対処した。

　15人のメンバーで構成される委員会は、米国における航空事故や鉄道事故の検証方法を参考に設計している。これらの事故の場合、セキュリティの専門家が民間航空会社や鉄道会社の事故を調査し、その原因を突き止め、将来の事故を防ぐための措置を推奨する。

　7月に発表された報告書では、Log4jは当初懸念されていたよりも低いレベルで悪用されたものの、将来にわたって影響が残る「常習的な脆弱性」であるとされている（注2）。

　CSRB副委員長のヘザー・アドキンス氏（Googleのセキュリティエンジニアリング担当バイスプレジデント）は、Log4jの脆弱性は、委員会が最初の調査の一環として検討するのに適したインシデントであることに同意している。

　「Log4jは、サイバーセキュリティの観点から見て、おそらく私が記憶している中で最も衝撃的な出来事の一つだと思う」とアドキンス氏はBlack Hatカンファレンスで述べた。

出典：Log4j was the right incident for inaugural review, safety board says（Cyberserurity Dive）

注1：Log4j was the right incident for inaugural review, safety board says

注2：Log4j is far from over, cyber review board says