ジョー・バイデン大統領が作成した新しいサイバーセキュリティパネルによると、昨年、ユビキタスなソフトウェアで発見されたコンピュータの脆弱性は、潜在的にXNUMX年以上のセキュリティリスクをもたらす「固有の」問題です。
サイバー安全審査委員会 木曜日のレポートで、メジャーの兆候はないが、 サイバー攻撃 Log4jの欠陥により、「今後数年間は悪用される」ことになります。
「ログ4j 国土安全保障省のロブ・シルバーズ次官は水曜日に記者団に語った。
昨年末に公開されたLog4jの欠陥により、インターネットベースの攻撃者は、産業用制御システムからWebサーバーや家電製品に至るまで、あらゆるものを簡単に制御できるようになります。 欠陥の悪用の最初の明らかな兆候は、 Minecraftの、Microsoftが所有する非常に人気のあるオンラインゲーム。
この欠陥の発見は、政府関係者による緊急の警告と、脆弱なシステムにパッチを適用するためのサイバーセキュリティ専門家による大規模な取り組みを促しました。
理事会は木曜日に、「やや意外なことに」Log4jバグの悪用が専門家の予測よりも低いレベルで発生したと述べました。 取締役会はまた、重要なインフラストラクチャシステムに対する「重大な」Log4j攻撃を認識していないと述べましたが、一部の サイバー攻撃 報告されないでください。
取締役会は、Log4jが日常的に他のソフトウェアに組み込まれており、組織がシステムで実行されていることを見つけるのが難しいため、将来の攻撃の大部分が発生する可能性があると述べました。
「このイベントは終わっていません」とシルバーズは言いました。
Javaプログラミング言語で記述されたLog4jは、コンピューターでのユーザーアクティビティをログに記録します。 オープンソースのApacheSoftwareFoundationの支援の下、少数のボランティアによって開発および保守されており、商用ソフトウェア開発者に非常に人気があります。
中国のハイテク巨人のセキュリティ研究者 アリババ 24月XNUMX日に財団に通知しました。修正プログラムの開発とリリースにはXNUMX週間かかりました。 中国のメディアは政府が罰せられたと報じた アリババ 欠陥を以前に州当局に報告しなかったことに対して。
理事会は木曜日、脆弱性の開示に対する中国政府の方針に「問題のある要素」を発見したと述べ、中国の国家ハッカーに、企業秘密を盗んだり、反対者をスパイしたりするなどの不正な手段に使用できるコンピューターの欠陥を早期に見せる可能性があると述べた。 中国政府は長い間サイバースペースでの不正行為を否定しており、ソフトウェアの脆弱性に関する情報共有の改善を奨励していると理事会に語った。
取締役会は、Log4jの欠陥のフォールアウトを軽減し、サイバーセキュリティ全般を改善するためのいくつかの推奨事項を提供しました。 これには、大学やコミュニティカレッジが、サイバーセキュリティトレーニングをコンピュータサイエンスの学位および認定プログラムの必須部分にするという提案が含まれています。
サイバー安全審査委員会は、飛行機墜落事故やその他の重大な事故を審査する国家運輸安全委員会をモデルにしており、昨年15月にバイデンが署名した大統領命令によって義務付けられました。 XNUMX名の理事会は、FBI、国家安全保障局、その他の政府関係者、および民間部門の人々で構成されています。 新しい理事会の一部の支持者は、DHSを立ち上げて稼働させるのに非常に長い時間がかかったと批判しました。
バイデンの大統領命令は、次のように知られている大規模なロシアのサイバースパイキャンペーンに関する最初のレビューを実施するように理事会に指示しました SolarWinds。 ロシアのハッカーは、DHSの最高のサイバーセキュリティ担当者に属するアカウントを含む、いくつかの連邦政府機関に違反することができましたが、そのキャンペーンからの完全なフォールアウトはまだ不明です。
シルバーズ氏によると、DHSとホワイトハウスは、Log4jの欠陥を確認することが、新しい取締役会の専門知識と時間をより有効に活用することに同意したとのことです。
