世界のインターネットサーバーで広範囲に使われる「Ａｐａｃｈｅ　Ｌｏｇ４ｊ」でセキュリティホールが見つかったのと関連し、韓国政府が企業にソフトウエアの緊急セキュリティアップデートを勧告した。ハッカーが脆弱性を攻撃すればパスワードがなくてもサーバーを通じて内部網に接続できるため、最新バージョンにアップグレードして保護措置を実行しなければならないという説明だ。

◇科学技術部「すぐにセキュリティアップデート措置しなければ」

科学技術情報通信部は１２日、こうした勧告事項を発表し「主要基盤施設と最高情報保護責任者（ＣＩＳＯ）、情報保護管理体系（ＩＳＭＳ）認証企業、インターネットデータセンター（ＩＤＣ）などに即刻措置を施行するよう求めた」と明らかにした。


科学技術情報通信部関係者は「アップデートしなければ脆弱性を悪用して攻撃者が遠隔で攻撃コードを実行させ深刻な被害を受ける恐れがある。迅速な措置が必要な状況」と話した。ハッカーの攻撃が始まった時に防ぐ手段がない「ゼロデイ脆弱性」に備えなければならないという説明だ。今回見つかった脆弱性には「ｌｏｇ４ｓｈｅｌｌ」という名前が付けられた。

科学技術情報通信部が勧めるソフトウエアアップデートは韓国インターネット振興院（ＫＩＳＡ）が運営するサイト「保護ナラ」で案内されている。同サイトにアクセスして資料室セキュリティ公示欄の「１６１４番公示事項」を確認すれば良い。オープンソースプロジェクトを支援する非営利団体であるアパッチソフトウエア財団のホームページを通じて最新バージョン（２．１５．０）にアップデートすることも必要だ。

◇「実際の攻撃発生時の被害規模は予測不可」

Ｌｏｇ４ｊは企業のホームページなどインターネットサービスを運営し管理する目的でログ記録を残すために使うプログラムだ。無償公開されたオープンソースのためアップルやアマゾン、ツイッターなどほとんどのＩＴ企業だけでなくウェブサイトを運営する企業と政府機関などで使っている。これに対しアパッチ財団はＬｏｇ４ｊで見つかった脆弱性のセキュリティ脅威水準を１～１０段階中最高である１０段階と評価して「極めて深刻な水準の脆弱性」と発表した。

今回の問題は先月２４日にアリババのクラウドセキュリティチームによって最初に報告されたが、コンピュータコーディング言語の一種であるｊａｖａ言語で開発されたオンラインゲーム「マインクラフト」で脆弱性が見つかり表面化した。プログラミングコードでなされた特定のチャットメッセージを入力すれば対象コンピュータで遠隔によりプログラムを実行させられる現象が確認されたのだ。マインクラフトを保有しているマイクロソフトはすぐにアップデートを開発して適用した後、「アップデートを適用した顧客は保護される」と公示した。

現存する多くのインターネットサーバーに深刻な影響を及ぼしかねないという点で「コンピュータの歴史上最悪の脆弱性が見つかった」という見方も出てきた。セキュリティ企業テナブルのアミット・ヨラン代表はこれに対し「この１０年間で最も大きく最も致命的な単一脆弱性になるだろう。おそらく現代コンピューティングの歴史上最も大きな脆弱性になるだろう」と主張した。ハッカーが保有している多くの「ゼロデイ脆弱性」のうちひとつが現れたものだが、広く使われるプログラムで脆弱性が見つかったため実際に攻撃が発生した場合には被害が手のつけられないほどに大きくなりかねないためだ。

◇「脆弱性は常に存在…能動的に見つけ出さなければ」

ただしゼロデイ脆弱性は常に存在するため被害が発生する前にこれを先に見つけ出すことが重要という分析もある。実際に３月にマイクロソフトのＥメール・メッセージプラットホームであるエクスチェンジサーバーがハッキングされ米国内の多くの機関が被害を受けた。定期的にセキュリティホールを点検しパッチを発表するマイクロソフトも実際のハッキング被害を受けたりセキュリティ点検の時ごとに多くのゼロデイ脆弱性を発見するということだ。

高麗（コリョ）大学情報保護大学院のイム・ジョンイン教授は「現在の解決方法はｌｏｇ４ｓｈｅｌｌにだけ適用されるもので、ｌｏｇ４ｓｈｅｌｌのほかにも知られていないゼロデイ脆弱性は数えきれないほど多い。セキュリティは『ダイナミックゲーム』と呼ばれるが、能動的に脆弱性を見つけ出さなければデジタル転換に対するリスクがますます大きくなるだろう」と話した。

一方、情報機関は韓国国内でまだハッキング被害は報告されていないと把握している。国家情報院は１１日「前日午前０時から事態把握とセキュリティパッチ案内をしているが現在まで国家・公共機関対象の関連ハッキング被害事例はないと確認された」と話した。