「Apache Log4j」の脆弱性、影響は今後10年以上続く可能性

今回は「「Apache Log4j」の脆弱性、影響は今後10年以上続く可能性」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米国土安全保障省の下部組織であり、重大なサイバーセキュリティ事件をレビュー、検証する委員会「Cyber Safety Review Board」（CSRB）は米国時間7月14日、「Review of the December 2021 Log4j Event 」（2021年12月に発生したLog4j事件に関するレビュー）というレポートを公開した。2月に設立された同委員会初となるこのレポートによると、「Apache Log4j」の脆弱性は2021年12月に発見されて以来、さまざまな米政府機関がその対処に向けて膨大な時間を費やしてきているという。また、この脆弱性によって投げかけられるサイバーセキュリティ上の懸念は10年以上に及ぶ可能性があるという。

　広く普及しているJavaのログ出力ライブラリーであるLog4jに潜んでいた脆弱性は、パッチを適用していなければハッカーによってサーバーを乗っ取られる可能性があるという危険なものだ。このライブラリーが普及しているのは無料で使えるためという理由もあるが、それは裏を返せば利用者自らがパッチを適用しなければならないということをも意味している。これは途方もなく大きな重荷になる可能性がある。CSRBによると、ある連邦閣議機関はこの脆弱性に対応するために、既に3万3000時間を費やしているという。

　Log4jの脆弱性が公表された頃、米政府は企業に向け、サイバー攻撃に対して厳戒体制を採るよう警告した。ただ、この脆弱性を狙う攻撃は発生したものの、当初に危惧されていたほど深刻なものとはなっていない。