新たに発覚したソフトウェアの脆弱性、世界で数億台の機器にリスク　米政府が警告

この問題を悪用すれば、組織のコンピューターサーバーに比較的簡単に不正侵入できる。そこから別の手段を利用して、組織のネットワーク上のシステムにアクセスできてしまう可能性がある。

Log4jを管理しているアパッチ・ソフトウェア財団（ＡＳＦ）は、この脆弱性に対処するための更新プログラムを組織向けに公開した。

しかしサイバーセキュリティ―企業クラウドフレアによると、この脆弱性を突く攻撃は、事態が公になる１週間以上前から発生していた。

組織は今、脆弱性のあるソフトウェアを実行しているコンピューターがインターネットに露呈されていないかどうか確認するため、時間との戦いを強いられている。政府機関も民間企業も、関係者が２４時間態勢で対応に当たっており、ＣＩＳＡは米国の基幹インフラに対するリスクの見極めに当たっていることを明らかにした。

サイバーセキュリティー企業マンディアントのチャールズ・カーマイカル上級副社長によると、中国政府とつながりのあるハッカー集団が既に、この脆弱性を利用し始めているという。マンディアントは、標的とされている組織については明らかにしなかった。

今回の脆弱性をめぐり、役に立つ情報と虚偽情報が入り混じる状況にハッカー集団が付け入る事態も懸念される。

その問題に対応するためＣＩＳＡは、脆弱性の影響を受けるソフトウェア製品や、ハッカー集団が利用している手口などについて解説するウェブサイトを開設する計画を明らかにした。