「Apache Log4j」の脆弱性、影響は「計り知れない」--今知っておくべきこと

　広く利用されているロギングソフトウェアに深刻なセキュリティ上の問題が見つかった。テクノロジー業界の多くの企業は週末にかけて、この脆弱性がサイバー犯罪者に悪用される前にパッチを適用しようと対応を急いだ。

提供：Getty

　パッチが適用されていなければ、Java用のロギングライブラリー「Apache Log4j」の脆弱性をサイバー犯罪者が悪用し、コンピューターサーバーを乗っ取る可能性がある。その結果、人気のオンラインサービスや、コンシューマー向けデバイスなどで問題が発生する恐れがある。

　この脆弱性が悪用される可能性が早くから指摘されていたのは、コンピューターゲーム「Minecraft」だ。攻撃者は、Minecraftを所有するMicrosoftがパッチを適用する前に、Minecraftのサーバーの1つを乗っ取る恐れがあった。これはゼロデイ脆弱性だ。セキュリティ専門家らがパッチを作成する前に、脆弱性の存在と悪用の可能性が認識されていた。

　この脆弱性は活発に悪用されていると専門家は警告している。サイバーセキュリティ企業のCheck Pointは米国時間12月13日、脆弱性が知られるようになってから72時間で攻撃が80万回以上検知されたと報告した。

　Check Pointは、「明らかにここ数年間のインターネットで最も深刻な脆弱性の1つだ。損害の可能性は計り知れない」と指摘する。

　米連邦政府当局はこのニュースを受け、警告を発している。影響を受ける組織などに対し、直ちにシステムにパッチを当てるなど問題に対処するよう促した。

　米サイバーセキュリティ・インフラセキュリティ庁（CISA）のJen Easterly長官は、「はっきり言って、この脆弱性は深刻なリスクをもたらす」と述べた。Apache Log4jが広く利用されていることから、この脆弱性はセキュリティ専門家にとって「緊急の課題」だと指摘している。

　Log4jの脆弱性について、他に知っておくべきことを以下に挙げる。

影響を受けるのは？

　このログ出力ライブラリーLog4jは、さまざまなエンタープライズソフトウェアやオープンソースソフトウェアで広く利用されているため、今回の脆弱性は惨事をもたらすおそれがあると、Trend Microの脅威インテリジェンス担当バイスプレジデントJon Clay氏は述べた。