連邦情報セキュリティ局である BSI は、Log4j Java ライブラリとその Log4Shell の脆弱性のために赤い警告を発しました。 この問題は、非常に重大な脅威の状況につながります。
連邦情報セキュリティ局 (BSI) によると、広く普及している Java ライブラリ Log4j の重大な脆弱性 (Log4Shell) により、非常に重大な脅威が発生しています。 そのため、BSI は既存のサイバー セキュリティ警告を赤色の警告レベルにアップグレードしました。 この評価の理由は、影響を受ける製品が非常に広範囲に分布していることと、それに伴う無数の他の製品への影響です。 この脆弱性は簡単に悪用される可能性もあり、概念実証が公開されています。 脆弱性の悪用に成功すると、影響を受けるシステムを完全に乗っ取ることができます。 BSI は、世界中およびドイツ全体での大量スキャンと侵害の試みを認識しています。 最初に成功した侵害も公に報告されます。
Log4j: この脆弱性は簡単に悪用可能です
BSI によると、現在、脅威の状況の全容を最終的に判断することはできません。 影響を受ける Java ライブラリ Log4j のセキュリティ更新プログラムがありますが、Log4j を使用するすべての製品も適応させる必要があります。 Java ライブラリは、他の製品で特定の機能を実装するために使用されるソフトウェア モジュールです。 そのため、ソフトウェア製品のアーキテクチャに深く組み込まれていることがよくあります。 どの製品が脆弱で、どの製品がすでに更新されているかは、現時点では完全には明らかではないため、ケースバイケースで確認する必要があります。 今後数日で、より多くの製品が脆弱であると特定されることが予想されます。
実施に推奨される対策
特に、BSI は、企業や組織がサイバー セキュリティ警告で概説されている防御策を実施することを推奨しています。 さらに、自身のシステムを適切に監視できるようにするために、検出および対応能力を短期間で高める必要があります。 個々の製品のアップデートが利用可能になり次第、インポートする必要があります。 さらに、脆弱性があったすべてのシステムは、侵害について調査する必要があります。
BSI には、すべての背景情報と推奨される対策が詳細に説明されている PDF 形式のホワイト ペーパーがあります。.
詳細は BSI.bund.de をご覧ください
連邦情報セキュリティ局 (BSI) について 連邦情報セキュリティ局 (BSI) は、連邦のサイバー セキュリティ機関であり、ドイツにおける安全なデジタル化の設計者です。 ミッション ステートメント: BSI は、連邦のサイバー セキュリティ機関として、州、企業、社会の防止、検出、および対応を通じて、デジタル化における情報セキュリティを設計します。