ワシントン(CNN) 世界で何億台もの機器が危険にさらされかねないソフトウェアの脆弱(ぜいじゃく)性が新たに発覚し、バイデン米政権のサイバーセキュリティー機関が13日、主要業界に対して必要な対策を講じるよう呼びかけた。
主要IT企業が影響の封じ込めに苦慮する中、米国土安全保障省サイバー・インフラ安全局(CISA)のジェン・イースタリー局長は業界幹部との電話会談で、ハッカー集団がこの脆弱性を活発に悪用していると警告した。
イースタリー局長は今回の問題を「私のキャリアを通じて遭遇した中で最も深刻な脆弱性のひとつ」と位置付けている。電話会談には大手金融機関や医療機関の経営者も出席した。
「この脆弱性は、高度な集団によって広く悪用される見通しだ。被害を食い止めるために必要な対策を講じる時間は限られている」とイースタリー局長は強調した。
この脆弱性については先週の時点で、ハッカー集団が悪用して組織のコンピューターネットワークへの侵入を試みていると伝えられていた。
専門家はCNNの取材に対し、脆弱性が解決されるまでには数週間かかる可能性があると述べ、中国のハッカー集団が既に悪用を試みている疑いがあるとの見方を示した。
脆弱性は、Javaをベースとした「Log4j」と呼ばれるソフトウェアに存在する。Log4jは、巨大IT企業を含む世界中の大企業が、アプリケーションのログ情報を記録するために使っている。米アマゾン傘下のAWSやIBMなどの超大手は、自分たちの製品の脆弱性対策に乗り出している。
この問題を悪用すれば、組織のコンピューターサーバーに比較的簡単に不正侵入できる。そこから別の手段を利用して、組織のネットワーク上のシステムにアクセスできてしまう可能性がある。
Log4jを管理しているアパッチ・ソフトウェア財団(ASF)は、この脆弱性に対処するための更新プログラムを組織向けに公開した。
しかしサイバーセキュリティ―企業クラウドフレアによると、この脆弱性を突く攻撃は、事態が公になる1週間以上前から発生していた。
組織は今、脆弱性のあるソフトウェアを実行しているコンピューターがインターネットに露呈されていないかどうか確認するため、時間との戦いを強いられている。政府機関も民間企業も、関係者が24時間態勢で対応に当たっており、CISAは米国の基幹インフラに対するリスクの見極めに当たっていることを明らかにした。
サイバーセキュリティー企業マンディアントのチャールズ・カーマイカル上級副社長によると、中国政府とつながりのあるハッカー集団が既に、この脆弱性を利用し始めているという。マンディアントは、標的とされている組織については明らかにしなかった。
今回の脆弱性をめぐり、役に立つ情報と虚偽情報が入り混じる状況にハッカー集団が付け入る事態も懸念される。
その問題に対応するためCISAは、脆弱性の影響を受けるソフトウェア製品や、ハッカー集団が利用している手口などについて解説するウェブサイトを開設する計画を明らかにした。