最近、数多くのWeb サイトやサービス、アプリ、そしてゲーム サーバーに障害をもたらす可能性のあるソフトウェア バグが複数のセキュリティ研究者により報告されています。これは、ハッカーによりこのようなサービスやアプリのサーバーが攻撃されたり、乗っ取られたりする危険性があることを示しています。
世界中で人気の Minecraft ゲームの開発者が報告しているように、この欠陥は、Twitter、Apple の iCloud、Steam のゲーム プラットフォームや、脆弱な状態となる可能性があるさまざまなサービスで使用しているサーバーに深刻な影響を及ぼす可能性があります。
ある研究グループはこの脆弱性を「Log4Shell」と名付け、この名称は定着しつつあります。この脆弱性には、サーバーに情報を記録するために広範囲で利用されているソフトウェアが含まれており、このソフトウェアは無料で利用できるオープンソースであるため、非常に多くの組織や企業がサーバー上で使用しています。
詳細はまだ十分に解明されていませんが、研究者たちは極めて深刻な被害をもたらす問題と考えて、適切な注意を払った上で迅速に対処しています。この欠陥が何百万というサーバー、デバイス、およびそのユーザーに影響を及ぼす可能性を考えると、当面懸念される危険性のレベルが依然として高いことは言うまでもありません。
脆弱性を悪用して攻撃者が行うこと
このような初期の段階では、いくつかのことが考えられます。
- ハッカーは、影響を受けたサーバーのログ情報にアクセスして、保存されている情報を収集できる可能性があります。これには、問題となっている Web サイト、アプリ、またはサービスが記録する内容によって、チャット、ユーザー名、パスワードなどの情報から得ることができるあらゆる種類の情報が含まれます。
- ある事例では、ハッカーがこの脆弱性を悪用し、標的とするサーバーの侵害や乗っ取りを可能にするコードや機能を実行できるようになると報告されています。たとえば、これまでに、乗っ取られたサーバーが不正に暗号通貨のマイニングを行う目的で改造されたという報告がありました。
- ハッカーは影響を受けたサーバーをさらに悪用して、サーバーに接続されているコンピューターやスマートフォンなどのデバイスにマルウェアを拡散させる可能性もあります。このブログを執筆している時点では、このような攻撃はまだ確認されていません。ただし、ハッカーがこの攻撃を行うことで利益が得られると考えた場合は、今後そのような攻撃を試みる可能性があります。
知り合いに Minecraft のプレーヤーや Minecraft サーバーを実行しているユーザーがいる場合の対処
Minecraft の開発者は、プレーヤーとサーバー ホストが双方を保護するために実行すべき手順について詳しく説明しています。開発者は事態の重大性を認識しており、積極的に取り組んでいるとし、「この脆弱性はコンピューターが侵害される危険をもたらす可能性があります。このエクスプロイトはすべてのバージョンのゲーム クライアントにパッチを適用することで対処されていますが、ゲームとサーバー双方を保護するには「手順」を実行する必要があります」と述べています。手順へのリンクは以下をご参照ください。
Minecraft プレーヤーおよびサーバー ホスト向けの推奨手順
自分の身を守るためにできること
現時点では、十分に事態が明らかになるまで、常に注意を払うことが重要です。使用しているアプリ、サービス、サイト、ゲームがいつもと違う動作をする場合は、サインアウトして終了することを検討してください。その後、デバイスでセキュリティ スキャンを実行し、ウイルス、マルウェア、その他の脅威がないかを確認するようにしてください。何らかの脅威が検出された場合は、オンライン保護ソフトウェアのガイドラインに従ってください。
また、アプリやサービスの利用を最も重要なアクティビティに制限することも検討してください。緊急かつ重要ではないオンラインのタスクやアクティビティは、しばらく延期することを検討してください。
最後に、この脆弱性に関する最新情報を見逃さないようにましょう。今後さらに詳細が明らかになっていきますが、その際には、この問題やその結果として生じる関連の問題の脅威からお客様やご家族の皆さまを保護するのに役立つさらなるガイダンスをご紹介する予定です。
最新情報を入手する
フォローして、マカフィーに関する最新情報を取得して消費者やモバイルのセキュリティ脅威について理解しましょう
