BSI は、レポートの最新情報を公開しています。「赤の警告レベル: Log4Shell の脆弱性が非常に重大な脅威につながる」という新しい調査結果と今後の展開を掲載しています。
連邦情報セキュリティ局 (BSI) によると、広く使用されている Java ライブラリ Log4j の「Log4Shell」と呼ばれる脆弱性により、IT セキュリティの重大な状況が続いています。 BSI は、Log4j の特別ページで最新情報を提供しています。.
どの IT 製品が「Log4Shell」に対して脆弱であるかについて、決定的な明確さはまだありません。 BSI 自体も貢献している BSI のオランダのパートナー機関は、多数の IT 製品の脆弱性ステータスの概要を維持しています。
まだ確定していない脆弱な製品のリスト
この脆弱性は現在、世界中でさまざまな種類の攻撃で悪用されています。 仮想通貨マイナー (これは、影響を受けるシステムが仮想通貨の計算に悪用されることを意味します) またはボット ネットワーク (影響を受けるシステムは、たとえば DDoS 攻撃が実行されるボット ネットワークに統合されます) による攻撃に加えて、現在、次のようなものもあります。最初のランサムウェア攻撃。 ランサムウェア攻撃では、コンピューターまたはネットワーク全体が暗号化され、影響を受けた人は脅迫されて身代金を要求されます。
BSI の観点からは、この脆弱性を悪用した広範な悪用と、さらなるサイバー攻撃の成功が予想されます。 前述の脆弱性が最初の感染に使用されている場合、これらは数週間から数か月後に続く可能性があります。
最初の攻撃が進行中 – さらに攻撃が予想される
したがって、BSI が推奨する IT セキュリティ対策をできるだけ迅速に実施することが依然として重要です。 脆弱な IT 製品のセキュリティ更新プログラムが利用可能な場合は、すべてのユーザーがそれらをインストールする必要があります。 そのため、特に IT 製品のメーカーは自社製品をチェックし、必要に応じてセキュリティ アップデートで製品を保護する必要があります。
特に、あらゆるレベルの企業や組織、政府機関は緊急に行動しなければなりません。 これらに対する短期的な保護手段も利用できます。これは脆弱性を解決するものではありませんが、悪用を防止または困難にすることができます。 さらに、検出と対応の手段を強化する必要があります。
IoT によってのみ危険にさらされるエンド ユーザー
問題の Java ライブラリはエンド デバイスではあまり一般的ではないため、消費者が危険にさらされることは少なくなります。 ただし、個々のアプリケーションやスマート デバイス (IoT デバイス) は脆弱になる可能性があります。 一般に、消費者は、これらの製品の製造元が適切なセキュリティ対策を講じ、セキュリティ更新プログラムを利用できるようにすることに依存しています。 既存の短期的な保護対策は、通常、経験豊富なユーザーのみが実装できます。
BSI は、サイバー セキュリティの警告と行動の推奨事項を継続的に更新します。 BSI の National IT Crisis Response Center は活動を続けています。 BSI は、国内外のパートナーと集中的に交流しています。
詳細は BSI.bund.de をご覧ください
連邦情報セキュリティ局 (BSI) について 連邦情報セキュリティ局 (BSI) は、連邦のサイバー セキュリティ機関であり、ドイツにおける安全なデジタル化の設計者です。 ミッション ステートメント: BSI は、連邦のサイバー セキュリティ機関として、州、企業、社会の防止、検出、および対応を通じて、デジタル化における情報セキュリティを設計します。