米国のCSRB(サイバーセーフティ委員会)2人の主要メンバーは2022年8月10日、ラスベガスで開催されたBlack Hat USAカンファレンスでLog4j脆弱(ぜいじゃく)性の初回調査を賞賛した。
CSRBの議長であるロバート・シルバーズ氏(国土安全保障省の戦略、政策、計画担当次官)は、「Log4jは委員会が2022年2月に実施した最初の調査テーマとして適していた」と述べる。Log4jは、2021年12月に公開されたばかりのインシデントで、多くの関係者、特にオープンソースコミュニティーに大きな影響を与えた。
委員会は、約80にのぼる世界各国のさまざまな利害関係者から協力を得た。伝統的な西側の同盟国から中華人民共和国の政府関係者に至るまで、複数の外国政府からの情報が含まれる。シルバーズ氏は、「官民がLog4jの調査に対して驚くべきレベルでコミットした」と述べている。
まだまだ続く「Log4j」の恐怖
DHS(国土安全保障省)が2022年2月に設立したCSRBは(注1)、国家のサイバーセキュリティインフラを強化し、相次ぐサイバー攻撃から身を守るためのバイデン政権肝入りの組織だ。2020年のSolarWindsのサプライチェーン攻撃、2021年5月のColonial Pipelineに対するランサムウェア攻撃といった大規模な攻撃に対処した。
15人のメンバーで構成される委員会は、米国における航空事故や鉄道事故の検証方法を参考に設計している。これらの事故の場合、セキュリティの専門家が民間航空会社や鉄道会社の事故を調査し、その原因を突き止め、将来の事故を防ぐための措置を推奨する。
7月に発表された報告書では、Log4jは当初懸念されていたよりも低いレベルで悪用されたものの、将来にわたって影響が残る「常習的な脆弱性」であるとされている(注2)。
CSRB副委員長のヘザー・アドキンス氏(Googleのセキュリティエンジニアリング担当バイスプレジデント)は、Log4jの脆弱性は、委員会が最初の調査の一環として検討するのに適したインシデントであることに同意している。
「Log4jは、サイバーセキュリティの観点から見て、おそらく私が記憶している中で最も衝撃的な出来事の一つだと思う」とアドキンス氏はBlack Hatカンファレンスで述べた。
© Industry Dive. All rights reserved.
関連記事
2021年の脆弱性がいまだ猛威 37%の開発者がLog4jをダウンロードする実態
サイバー犯罪グループは、いまだに2021年に流行したセキュリティの脆弱性を悪用した攻撃を続けている。ユーザー側も脆弱性のあるデータをダウンロードし続けているという。
7割の企業が脆弱性を放置 Windows FUなど更新パッチ適用の先延ばしは重大なリスクに
Windows OSの活用に更新パッチの適切なタイミングでの適用は不可欠だ。しかし、タニウムの調査では多くの企業が適用できていないことが明らかとなった。そのことがどのようなセキュリティリスクにつながるのか、最新のApache Log4J問題などを含め"脆弱性対策の最初の一歩"について専門家が語る。