「Log4j」パッチ未適用の組織はネットワーク侵害を想定すべき–CISAとFBIが警告

今回は「「Log4j」パッチ未適用の組織はネットワーク侵害を想定すべき–CISAとFBIが警告」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米連邦捜査局(FBI)は米国時間11月16日、「Apache Log4j」に存在する脆弱性「Log4Shell」に関する共同アドバイザリーを発表した。「VMware Horizon」のサーバーインスタンスにパッチを適用していない組織や、緩和策を講じていない組織は、ネットワークが侵害されていると想定し、それに応じた行動をとるよう注意喚起している。

 この警告は、両者が「連邦一般行政部」(FCEB)と言及する組織で、サイバー攻撃が発生したことに起因している。調査から、攻撃者はパッチが適用されていないVMware HorizonのLog4Shellを悪用して、ネットワークに侵入したことが明らかになった。

 Log4Shellの脆弱性が最初に公開されたのは、約1年前の2021年12月である。当時、CISAのJen Easterly長官は「私の全キャリアを通じた中で、最も深刻とは言わないまでも、最も深刻なものの1つ」と述べており、組織はパッチを適用するよう強く推奨された。

 この脆弱性(CVE-2021-44228)は、広く普及しているJavaのログ出力ライブラリーのApache Log4jに存在する。攻撃者が悪用に成功した場合、リモートからコードを実行して、マシンへのアクセスが可能になる。

 Apache Log4jはその偏在性ゆえに、Javaで書かれた膨大な数のアプリケーション、サービス、エンタープライズ向けソフトウェアツールに組み込まれ、世界中の組織が使用している。そのため多くの組織は、早急に修正パッチを適用した。

 しかし、この重要なセキュリティアップデートの適用を促す緊急メッセージにも関わらず、いまだにそれを怠っている組織がある。つまり、そうした組織はLog4Shellを悪用しようとするサイバー犯罪者や悪意のあるハッカーに対して、今も無防備ということになる。

 そのためCISAとFBIは、影響を受けるVMwareシステムを有しているものの、パッチや回避策をすぐに適用しなかった組織は、「侵入されているという前提の下、脅威の追跡活動を開始するよう」警告した。

 同アドバイザリーでは、Log4jが原因の侵害を検出した組織は、攻撃者が「水平移動していると想定し」、接続されているすべてのシステムを調査して、特権アクセスを持つアカウントを監査するように警告している。

 また、「すべての組織は、侵害の証拠の有無にかかわらず、同種の悪意あるサイバー活動から保護するために、このアドバイザリーの緩和策セクションにある推奨事項を適用する必要がある」としている。

 緩和策として、影響を受けるVMware Horizon、Unified Access Gateway(UAG)システム、その他すべてのソフトウェアを最新バージョンにアップデートすることや、重要サービスを隔離されたネットワークでホストし、強力なパスワードや多要素認証といった厳格な境界アクセス管理によって、インターネットに接続したアタックサーフェスを最小化することなどが挙げられている。

 さらに組織は、Log4j攻撃者が使用するTTP(戦術、手法、手順)に対して、自社のセキュリティ管理をテストすることが推奨されている。

 CISAによると、今回の攻撃事例では、攻撃者はパッチが適用されていないVMware HorizonサーバーのLog4Shellを悪用して、ネットワークに侵入した。さらに、クリプトマイニングのマルウェアをインストールし、ネットワーク内を移動して、ユーザー名やパスワードを盗むことに成功していたという。

 CISAは、この攻撃の背後には、イラン政府を後ろ盾とする高度で持続的な脅威(APT)グループがいたと考えている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
JPCERT/CC、インシデント被害組織や1次対応組織の相談窓口を開設
IT関連
2024-03-23 18:57
国際金融サービスのAirwallexがシリーズDで約110億円調達、評価額は約2800億円に
フィンテック
2021-03-25 18:49
6月施行の「改正電気通信事業法」、新たな「クッキー規制」とは–IIJが解説
IT関連
2023-06-02 13:24
いすみ鉄道、「LINE WORKS」で観光案内サービスを強化–ペーパーレス化も促進
IT関連
2021-07-29 02:39
中国政府、国外上場の規制やデータセキュリティに対する監視を強化
IT関連
2021-07-08 07:09
2025年までにすべての自動運転車に二酸化炭素排出量ゼロを義務づけるカリフォルニア州の法案
モビリティ
2021-03-23 14:54
ワークデイが最新AIソリューションを披露–「Illuminate」を発表、3ステップでAI活用
IT関連
2024-09-20 00:14
日本とシンガポールを結ぶ新海底ケーブル、GoogleやFacebookが敷設
企業・業界動向
2021-08-17 01:00
Microsoft、“次世代Windows”発表イベントを6月25日午前0時開催
アプリ・Web
2021-06-04 12:45
期限の制約なく無料で使えるクラウド「Free Tier」主要サービスまとめ。2022年版
AWS
2022-07-20 21:35
クラウド環境のセキュリティ機能を運用支援–ニューリジェンがAI活用した新サービス
IT関連
2022-04-24 05:31
金融会計業界の「標準API」Moneytree LINKのマネーツリーが26億円のシリーズC2調達
フィンテック
2021-05-13 13:34
会員制捜索ヘリサービス「ココヘリ」を運営するAUTHENTIC JAPANが総額2.2億円の資金調達実施
その他
2021-03-06 21:45
StreamlabsがTwitchクリップをTikTok / Instagram / YouTubeに共有できる新ツール「Crossclip」を発表
ネットサービス
2021-07-17 12:06