評価された資産の 10 分の 1 は Log4Shell に対して脆弱 　

今、対処しなければ、2022 年のコンピューター使用が規定されてしまう。

Tenable は脆弱性の 1 つひとつについて大量のデータを収集しますが、最近大問題になった Log4Shell について言えば、現在までに分かったことは衝撃的ではあるものの、驚くような内容ではありません。すべての資産の 1 割が Log3Shell に対して脆弱であるということです。しかし、企業の 3 割がこのバグを探そうともしていないのは心配です。犯罪者側が現在、最速でバグを探し出そうとしている状況からみると、これこそが驚くべき怠慢な遅延です。

今まで評価した資産のうち、さまざまな種類のサーバー、ウェブアプリケーション、コンテナ、IoT デバイスなど、およそ 1 割に Log4Shell が検出されており、すべての産業と地域が影響されています。 企業の基幹サーバー 10 台中 １ 台、ウェブサーバー 10 台中 １ 台、というふうにリスクが蔓延していて、デジタルインフラのほぼすべての様相の 1 割において、Log4Shell の悪用による攻撃の潜在性があります。

また、影響されている企業の数もただならないものです。2021 年 12 月 21 日時点での当社のテレメトリによれば、この脆弱性を検出するためのスキャンを実行した企業はたったの 7 割! Log4Shell は、サイバーセキュリティ史上、最大のリスクの 1 つと認識されているのに、何も行動をとっていない企業がこれほどあるのです。パッチ適用どころか、環境の評価さえ開始していない企業が全体の 3 割を占めています。

セキュリティ担当者がただでも不足している今、年末年始の休暇のタイミングもあって迅速な対応がより困難なのはしかたがないのですが、このリスクは特異なものです。広範囲な悪用はすでに始まっています。1 か月後には、このエクスプロイトに反復が数回重ねられて、より破壊的な結果をもたらすようになり、その時に被害を防ごうと思っても不可能かもしれません。 

EternalBlue などが WannaCry のような大型の攻撃をしかけた例は過去にありますが、今回の Log4j は、インフラとアプリケーションの両方に蔓延しているため、ダメージは大幅に拡大されることが予想できます。この脆弱性には修正が必要です。その事実がこれほどあからさまな例は史上初めてです。Log4Shell によって現在のコンピューター使用のあり方が変わるでしょう。保護に徹する人達と、怠慢な姿勢に妥協する人達に別々に。

もっと詳しく

• Log4Shell 関連の脆弱性についてよくあるご質問
• Apache Log4j における非常に深刻な脆弱性を悪用する攻撃が見つかる
• Apache Log4j の脆弱点でサードパーティのソフトウェアが焦点に