Spring4Shell
Spring4Shellとは
2022年3月31日に、Sprig Frameworkの脆弱性(CVE-2022-22965) が公表されました。リモートからのコード実行が可能で、脆弱性の深刻度を表すスコアCVSSv3は9.8と緊急レベルであり、「Spring4Shell」と呼ばれています。また、Spring Frameworkは、JavaのWebアプリ開発に利用される主要なフレームワークで多くのWebサイトで利用されています。
影響を受ける各プロダクトでリリースされている、 対策済みバージョンを適用する事で対策が可能です。
VMwareについては、下記で警告が出されております。
2021年12月に、Apache log4jの非常に深刻な脆弱性「Log4Shell」が公表され、各所で悪用され大きな被害が発生したことが記憶に新しいですが、今のところ、Spring4Shellが悪用されるには複数の条件を満たす必要があり、Log4Shellと比較し悪用が難しいため、目立った被害は報告されていません。しかし今後、新たな悪用条件が発見される可能が残っており、引き続き、新たな情報に注意する必要があります。
[悪用条件]
- ・Spring Framework 5.3.0から5.3.17
- ・Spring Framework 5.2.0から5.2.19
- ※サポート終了バージョンも影響を受けます
- ・JDK 9以上を使用している
- ・Apache Tomcatをサーブレットコンテナーとして使用している
- ・WAR形式でデプロイされている
- ・プログラムがspring-webmvcあるいはspring-webfluxに依存している
Springを採用している企業は多いと思いますが、対応パッチのリリースが非常に早かったため、大きな被害は今のところ私も聞いておりません。
ーー
ブログの記事が少しずつニュース時期より遅れつつある今日このごろ・・・
セールス職の年度初めはほんとに忙しいのです。。。
Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure
米国 、オーストラリア 、カナダ 、ニュージーランド 、英国 のサイバーセキュリティ当局は、この共同サイバーセキュリティ アドバイザリをリリースしています ( CSA)。この共同 CSA の目的は、ロシアのウクライナ侵攻により、地域内外の組織が悪意のあるサイバー活動の増加にさらされる可能性があることを組織に警告することです。この活動は、ロシアに課せられた前例のない経済的コストと、米国および米国の同盟国とパートナーによって提供された物資支援への対応として発生する可能性があります。
これまで、ヨーロッパ、北米、を中心に、日本もロシアに対して経済制裁や物資、金銭、武器の支援を行ってきたわけですが、これに対する報復としてロシア政府が支援するサイバー犯罪組織がこれまで以上に各国の重要インフラに対し、サイバー攻撃を仕掛けてくる可能性が高いという警告を呼びかけられています。
米国・オーストラリア・カナダ・ニュージーランド・英国の当局らは、こうしたサイバー攻撃に対する対策および緩和策として次の項目の実施を推奨している。
- オペレーティングシステム、アプリケーション、ファームウェアなどをソフトウェアのアップデート
- 可能な限り多要素認証を適用するととともに、すべてのアカウントで強力なパスワードを使用する
- RDPやそのほか潜在的にリスクを伴うサービスを利用するときにはセキュリティで保護し注意深く監視を行う
- エンドユーザの意識向上と教育に取り組む
- 役割と機能に基づいてネットワークセグメントを分離する。
数年前から、先進的な大企業に限らず、ITリテラシーが低かった企業からもセキュリティ、、特にランサムウェア対策のキーワードで相談がくることが多くなった。
コロナ渦での働き方が変わったということに加え、企業の情報に対する自己防衛意識が高まっていることはとても重要なことで、ITを提供する側に属するものとして今後一層注視していきたい。
ウクライナ侵攻
常に世界中のどこかで紛争、内戦、テロなど起こっているとはもちろんわかっているのですが、、、
これだけ世界的なニュースになるのは、記憶に久しいところです。
2月24日に開始されたロシアによるウクライナ侵攻、ウクライナに対する人道的な機器を招くだけではなく、おそらく今後世界的にかなり深刻な経済影響を与えていくものだと予想されます。
石油やガスなどエネルギー資源、小麦やトウモロコシなどの食糧、また半導体の製造に欠かせないアルゴンやネオンなどのガスを算出していることから、ありとあらゆる面で多大かつ深刻な影響がでてくることは必須だというニュースも飛び交っております。
すでにこうした産業品は侵攻以来急速に上昇しているのだとか・・・。
やっとコロナが落ち着いてきたというところで、、、、
これから、ガソリンや食糧(パン、米だけに限らず飼料という意味で肉も)かなりの物価上昇になるだろうし、反比例して経済成長は低くなる・・そんなことになることが容易に想像できます。
また、半導体の不足はさらに深刻化し、IT業界にもとてつもなく大きな影響を与えるのだろうと思うと、憂鬱になります。
そもそも、戦争をなくしていこうという姿勢であるべき大国が、いとも簡単にこのような行動をとるなんて、到底理解できない。
世界経済云々はおいといても、とにかくウクライナの方々のためにも、一刻も早く収束してほしいと願うばかりです。
