閉じる
メニュー

Log4Jの脆弱性からまだ危険にさらされている可能性があります

  • 何千ものオンラインサーバーとサービスが、危険で簡単に悪用可能なloj4jの脆弱性にさらされていると研究者は発見しています。
  • 主な脅威はサーバー自体ですが、公開されたサーバーはエンドユーザーを危険にさらす可能性もあるとサイバーセキュリティの専門家は示唆しています。
  • 残念ながら、ほとんどのユーザーは、デスクトップのセキュリティに関する最善の方法に従う以外に、問題を解決するためにできることはほとんどありません。
青い回路とロックがバイナリコードでいっぱいの画面に重なっているサイバーセキュリティの概念イメージ。

茅野雄一郎/ゲッティイメージズ

危険な log4Jの脆弱性 簡単に悪用可能なバグの修正が利用可能になってから数か月後でも、死ぬことを拒否します。

Rezilionのサイバーセキュリティ研究者 最近発見された 68,000を超える潜在的に脆弱なMinecraftを含む、90,000を超える脆弱なインターネット向けアプリケーション 管理者がまだセキュリティパッチを適用していないサーバー。サーバーとそのユーザーをサイバー攻撃にさらします。 そして、それについてできることはほとんどありません。

「残念ながら、log4jはかなり長い間インターネットユーザーを悩ませます。」 ハーマンシン、サイバーセキュリティサービスプロバイダーのディレクター Cyphere、Lifewireにメールで伝えた。 「この問題はサーバー側から悪用されているため、[人々]はサーバーの侵害の影響を回避するために多くのことを行うことはできません。」

幽霊

脆弱性、吹き替え Log4シェル、2021年12月に最初に詳述されました。 当時の電話ブリーフィングで、米国のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)のディレクターであるジェンイースタリーは、 脆弱性について説明しました 「最も深刻ではないにしても、私のキャリア全体で見た中で最も深刻なものの1つ」として。

Lifewireとのメール交換では、 ピートヘイ、サイバーセキュリティテストおよびトレーニング会社の指導リーダー SimSpace、問題の範囲はから判断できると述べた 脆弱なサービスとアプリケーションのコンパイル Apple、Steam、Twitter、Amazon、LinkedIn、Teslaなどの人気のあるベンダーから。 当然のことながら、サイバーセキュリティコミュニティは全力で対応し、Apacheはほぼ即座にパッチを公開しました。

Rezilionの研究者は、調査結果を共有し、バグに関する大量のメディア報道を考えると、すべてではないにしても、脆弱なサーバーの大部分にパッチが適用されることを望んでいました。 「私たちは間違っていた」と驚いた研究者たちは書いている。 「残念ながら、物事は理想からほど遠いものであり、Log4Shellに対して脆弱な多くのアプリケーションがまだ実際に存在しています。」

研究者は、Shodanモノのインターネット(IoT)検索エンジンを使用して脆弱なインスタンスを発見し、その結果は氷山の一角にすぎないと考えています。 実際の脆弱な攻撃対象領域ははるかに大きくなります。

あなたは危険にさらされていますか?

かなり重要な攻撃対象領域にもかかわらず、ヘイは平均的なホームユーザーにとって良いニュースがあると信じていました。 「これらの[Log4J]の脆弱性の大部分はアプリケーションサーバーに存在するため、自宅のコンピューターに影響を与える可能性はほとんどありません」とHay氏は述べています。

でも、 ジャックマーサル、サイバーセキュリティベンダーの製品マーケティング担当シニアディレクター WhiteSourceは、人々がオンラインショッピングからオンラインゲームのプレイまで、インターネットを介して常にアプリケーションと対話し、二次攻撃にさらされていることを指摘しました。 侵害されたサーバーは、サービスプロバイダーがユーザーに関して保持しているすべての情報を明らかにする可能性があります。

「個人が対話するアプリケーションサーバーが攻撃に対して脆弱でないことを個人が確信できる方法はありません」とMarsalは警告しました。 「可視性は単に存在しません。」

「残念ながら、物事は理想からほど遠いものであり、Log4Shellに対して脆弱な多くのアプリケーションがまだ実際に存在しています。」

肯定的な意見として、Singhは、一部のベンダーがホームユーザーが脆弱性に対処するのをかなり簡単にしたと指摘しました。 たとえば、 Minecraftの公式通知、彼は、ゲームのJavaエディションをプレイする人は、実行中のすべてのインスタンスを閉じるだけでよいと述べました。 ゲームを起動し、パッチを適用したバージョンをダウンロードするMinecraftランチャーを再起動します 自動的。

コンピュータで実行しているJavaアプリケーションがわからない場合、プロセスはもう少し複雑で複雑になります。 Hayは、拡張子が.jar、.ear、または.warのファイルを探すことを提案しました。 ただし、彼は、これらのファイルが存在するだけでは、log4jの脆弱性にさらされているかどうかを判断するのに十分ではないと付け加えました。

彼は人々を提案した スクリプトを使用する カーネギーメロン大学(CMU)ソフトウェアエンジニアリングインスティテュート(SEI)コンピューター緊急対応チーム(CERT)が、コンピューターの脆弱性を調査するために発表しました。 ただし、スクリプトはグラフィカルではないため、スクリプトを使用するには、コマンドラインにアクセスする必要があります。

すべてを考慮して、マーサルは、今日の接続された世界では、安全を維持するために最善の努力を払うのはすべての人の責任であると信じていました。 Singhは、脆弱性を悪用することによって永続化される悪意のあるアクティビティを常に把握するために、基本的なデスクトップセキュリティプラクティスに従うように人々に同意し、アドバイスしました。

「[人々]は、システムとデバイスが更新され、エンドポイント保護が実施されていることを確認できます」とSingh氏は提案しました。 「これは、詐欺の警告と、野生の搾取によるフォールアウトの防止に役立ちます。」