本稿では、Log4Shellなどの緊急度が高い脆弱性に備えてやっておくべき5つのポイントについて紹介します。
「Apache Log4j」のゼロデイ脆弱性 通称「Log4Shell」に震撼するわけ
12月11日にJPCERT/CCよりJavaベースのログ出力ライブラリであるApache Log4jの深刻な脆弱性(CVE-2021-44228)に関する情報が公開されました。この脆弱性を悪用することで、リモートから任意のコマンドを実行される恐れがあるというもので、「Log4Shell」と呼ばれています。インターネット経由で誰でも簡単に攻撃できてしまう可能性があり、国内でもすでに攻撃が確認されているため、対処を急ぐ必要があります。
今回の脆弱性が「最悪」と言われる理由は、脆弱性自体の危険度が高いということだけにとどまらず、Log4jがどこで使われているかの把握が難しく影響範囲が特定しづらいという点、それにより本脆弱性に起因した様々な影響が長引く可能性がある点です。
該当するLog4jのバージョンおよび対処方法については、JPCERT/CC、IPAなど信頼できる機関から最新情報を収集し、該当する場合はバージョンアップ等の対処を早急に実施するとともに、攻撃を受けた可能性を考慮して各種ログから攻撃の痕跡がないか調査を行ってください。
なお、JavaはSaaSサービスや製品でも多く利用されていることから、自社でサーバーを運用していない場合でも、本脆弱性の影響を受ける可能性があります。また、本脆弱性対策済みのLog4jのバージョンに別の脆弱性が発見されるなどの情報もあり、状況は日々変わっています。そのため、自社で契約しているSaaSサービスや製品のベンダー情報も含めて、最新情報の収集を継続してください。
徳丸本でも紹介している「Apache Log4j」とは
あらためて「Log4j」について。Java向けのログ出力ライブラリで、現在ではApacheプロジェクトに組み込まれています。徳丸本※でも「ログ出力の実装」の中で紹介しており、Log4jのようなライブラリを使用することでログ出力先やログレベルの変更が容易などのメリットがあることから、Javaを利用するシステムでは広く利用されています。
※体系的に学ぶ 安全なWebアプリケーションの作り方(SB Creative)徳丸浩著 p.518「5.4.4 ログ出力の実装」
脆弱性対処に備えてやっておくべき5つのこと
今回のような、広く利用されているソフトウェアや製品に置ける緊急性の高い脆弱性の発見は、まさに事業リスクそのものです。このような場面で自社への影響を把握し速やかな対処を行うために必要な備えとして、以下の5つが実施できているか振り返ってみてください。
脆弱性情報の収集
まずは、脆弱性情報配信サービスなどを活用するなどして、脆弱性情報を早く手に入れることが必要です。もう少しライトにということであれば、JPCERT/CCやIPA、警察庁等の国内の注意喚起サイトの他、情報の速さで言えばTwitterもお勧めです。
弊社取締役CTO徳丸浩のTwitterアカウント @ockeghem
資産管理、構成管理、脆弱性管理
情報収集して判明した脆弱性が自社に影響があるのかどうかは、該当するソフトウェアや機器を自社で利用しているかどうかが分かっている必要があります。自社で管理しているものはもちろん、運用・保守を外部に業務委託しているもの、サービスとして契約しているものも含まれます。さらに、脆弱性に対処したかどうか、対処した場合はその内容、対処しなかった場合はその理由等を管理する必要がありますが、これらを効率的に管理するための脆弱性管理製品が多くあります。
ただし、該当の脆弱性が存在するソフトウェアや機器を自社で利用していることが分かったとして、セキュリティの知見と業務理解の両輪で、影響度や影響範囲、対応の優先度はどうか等について、人によるトリアージや分析が必要です。弊社では、脆弱性情報の配信に加え、自社だけでは難しいトリアージや分析のご支援も行っています。
体制の整備
情報収集結果のエスカレーション、業務委託先も含めた影響調査の体制、対策要否の判断者や承認者、攻撃や被害状況の調査体制、外部機関との連携等が事前に整備されていない場合、対処が遅れ、被害の拡大を招く恐れがあります。
事前の体制構築やエスカレーションフローの整備とともに、これらが有効に機能するかどうかの演習も実施しておくとよいでしょう。また、いざというときの相談先を確保しておくと安心です。
脆弱性診断の実施
脆弱性を放置しておくことは非常に危険です。既知の脆弱性は、プラットフォーム診断で検査・対処しておきましょう。セロデイ攻撃を防ぐことは難しいですが、残存している脆弱性と組み合わせて悪用されることにより被害が拡大する可能性があります。
脆弱性診断にはいくつかの種類があり、診断の種類によってカバー範囲が異なるため、どのような診断を行えばよいか迷うときは、診断ベンダーに相談することをお勧めします。弊社でも脆弱性診断のご相談をお受けしております。
WAF(ウェブ・アプリケーション・ファイアウォール)の導入
ウェブサイトへの攻撃を防ぐための保険的な対策として、WAFの導入が有効です。まずはソフトウェアやアプリケーションの脆弱性対処といった根本的な対策が必要ではあるものの、対策漏れや、今回のLog4jの脆弱性のような緊急度の高い脆弱性への対処に時間がかかってしまうといった場合に、WAFを導入していることで攻撃を防ぐことが出来ます。
WAFベンダー各社が続々とLog4jの脆弱性への対応を行っており、弊社が提供する国産ソフトウェアWAF「SiteGuardシリーズ」でも、最新のシグネチャにより、該当の脆弱性を悪用した攻撃に利用されるパターンを検出します。ただし、WAFですべての攻撃を防げるというものではないため、根本的な脆弱性対処と併用して活用することをお勧めします。
EGセキュアソリューションズにご相談ください
弊社では、脆弱性診断、WAFのご相談はもちろん、今後も避けられない緊急度の高い脆弱性に対処するための課題解決のご支援を行っております。Log4jの脆弱性への対処をはじめ、セキュリティ対策にお困りの場合はお問合せください。
ご提供サービス
脆弱性情報配信、トリアージ・分析支援サービス
脆弱性診断(プラットフォーム診断、ウェブアプリケーション診断)
WAF「SiteGuardシリーズ」
セキュリティコンサルティング
セキュリティ顧問
参考情報
■ 開発者サイト
Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html
■ 国内機関からの注意喚起
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起【JPCERT/CC】
https://www.jpcert.or.jp/at/2021/at210050.html
Apache Log4j の脆弱性対策について(CVE-2021-44228)【IPA】
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について【警察庁】
https://www.npa.go.jp/cyberpolice/important/2021/202112141.html
■ 影響を受ける製品のリスト
BlueTeam CheatSheet * Log4Shell*
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
CISA Log4j (CVE-2021-44228) Vulnerability Guidance
https://github.com/cisagov/log4j-affected-db
- カテゴリ:
- 動向
