【未対応の企業多数】国内でも続く「Webサーバー攻撃」
【Log4Shell】Javaライブラリに潜む脆弱性
多くのWebサーバーで利用されているJavaのログ出力ライブラリ「Log4j」に潜む脆弱性「Log4Shell」が2021年12月に報告されてから、約3ヶ月が経過しました。
本脆弱性では、Apacheを使いログ出力にJavaを使用しているWebサーバー、つまり「業務システム」「企業のサイト」「ECサイト」など、あらゆるWebサーバーが標的になります。
脆弱性を悪用された場合、Webサーバー上で任意のプログラムを実行される危険性があり、改ざんをはじめとするあらゆる被害が想定されることから、様々な危険性の評価基準において「トップレベル(危険性高)」とされています。
ネットワークセキュリティを手掛けるBarracuda Networks社の報告によると「日本国内からの攻撃はアメリカに続き世界第2位」であり、これからも続くと予想されています。
また、情報セキュリティ対策に取組むJPCERT/CCでは「①悪用を実証するコードが出回っていること」「②悪用を試みる通信が増加していること」を受け引続きの対策を呼びかけています。
しかしながら、多くの企業で「WebサーバーのどこでLog4jを使用しているのか調査し切れていない」のが実情です。
【対策】対象の洗出しとバージョンアップ・パッチ適用
「Log4Shell」の対策としては以下が挙げられます。
脆弱性が確認された「Log4j」のバージョンなど、詳細は下記リンクよりご確認ください。
①脆弱性診断による「Log4j」を使用しているWebサーバーの洗出し
②「Log4j」を使用している製品へのパッチ適用・ライブラリバージョンアップ
脆弱性を含む対象バージョンとは
出典:Barracuda Networks「Threat Spotlight: Attacks on Log4Shell vulnerabilities」
https://blog.barracuda.com/2022/03/02/threat-spotlight-attacks-on-log4shell-vulnerabilities/
株式会社ピーエスシーが提供しております「セキュリティマネージドサービス」は、経済産業省が策定した情報セキュリティ基準にした適合したサービスとして登録されております。なお、本登録は当社の「脆弱性診断サービス」に続く登録となります。
■お電話でのお問合せ
0120-061-044
■メールでのお問合せ
■その他セキュリティサービス
