あの日見つけたLog4Shellの本当の恐ろしさを僕達はまだ知らない。：Log4Shellバスターズはまだ眠れない

Apache Log4j 2の脆弱性「Log4Shell」の危険性は既にご存じだろう。その真の恐ろしさは、提供されるセキュリティアップデートを適用しただけでは解決しないということだ。

[Alex Scroxton，Computer Weekly]

　Javaベースのロギングライブラリ「Apache Log4j 2」の脆弱（ぜいじゃく）性、いわゆる「Log4Shell」は、「2021年に見つかった最も深刻な脆弱性」（Qualysのバーラト・ジョギ氏）、「壊滅的なレベルの設計上の失敗」（F-Secureのエルカ・コイブネン氏）、「重大な脆弱性のタイムラインの中でも強烈な重大事件（閃光記憶）」（Sonatypeのブライアン・フォックス氏）など、さまざまな表現で取り上げられている。

　この脆弱性の影響が明らかになるにつれ、これを懸念しないセキュリティ担当者を見つけるのは難しくなった。2021年12月11日と12日の週末、セキュリティコミュニティーはまるで天が降ってきたかのような騒ぎの中でLog4Shellの影響の確認に追われた。

　では、これを防御するためには何を知る必要があるのか。

ベンダー提供のパッチだけは解決しない

iStock.com/Marca Piner

　このゼロデイ（CVE-2021-44228）が公表されたのは2021年12月初めだが、そのしばらく前から悪用されていたようだ。最初に「Minecraft」で見つかったのはリモートコード実行（RCE）の脆弱性で、放置すると攻撃者に任意のJavaコードを実行されてサーバを乗っ取られる。それは驚くほど簡単に悪用されると考えられている。

　Log4Shellの危険性が極めて高いのは、Log4j 2が広く使われているからだ。Apple、Amazon.com、Cisco Systems、Microsoft、VMwareなどの大手ハイテク企業のサービスを含め、「Apache Struts 2」「Apache Solr」「Apache Druid」「Apache Flink」をある程度利用するその他の多数のサービスが危険にさらされている。

　F-Secureのジェイソン・サトラ氏は言う。「Log4jライブラリを使っていないサービスを見つけるのは、使っているサービスを見つけるよりも難しい」

　Bugcrowdのケーシ・エリス氏（CTO：最高技術責任者）は次のように語る。「これは最悪のシナリオだ。Log4jがソフトウェアやプラットフォームの至るところに使われていること、この脆弱性を悪用する経路があまりにも多いこと、他に影響することなくこの脆弱性にパッチを適用するのが難しいこと、悪用自体が簡単なことなどが積み重なり、多くの人々が長い週末をすごすことになった」

関連記事

• セキュリティが根本から変わる「脆弱性があっても悪用させない」技術
• OS再インストールでも防げない、ファームウェアの脆弱性が判明
• 意外？　「データベースの脆弱性を最も放置している国」が判明
• 5Gプロトコルに深刻な脆弱性、端末の追跡、通信の窃視・切断も可能
• 脆弱性を17カ月放置した企業を正すには“晒しあげ”しかないのか？

　MicrosoftのThreat Intelligence Centerチームによると、Log4Shellに関する非常に多数のアクティビティーをスキャン中だという。同チームはこのスキャンを週末に残業を重ねて行っている。脆弱性の性質から、こうしたアクティビティーはシンプルな違法クリプトマイナーから資格情報の窃盗やシステム内の移動、データの漏えいを可能にする「Cobalt Strike」の使用に至るまで、さまざまな形態を取る可能性がある。この後、ランサムウェア攻撃が起きることは言うまでもない。

　セキュリティチームはLog4j 2のソフトウェアアップデートをすぐに適用しなければならない。だがそれだけでは収まらない。Sophosのショーン・ギャラガー氏（上級脅威研究者）は言う。「『Microsoft Exchange』の脆弱性『ProxyLogon』『ProxyShell』など、多くの脆弱性は特定の製品やプラットフォームに限定される。脆弱なソフトウェアを特定してパッチを適用すれば対処できる。だがLog4jは多くの製品が利用するライブラリだ。つまり、インフラの片隅に潜む社内開発ソフトウェアにも含まれている可能性がある。Log4Shellによって脆弱になるシステムを全て見つけ出すことが最優先だ」

　「攻撃者がネットワークへのアクセスを確保すると、あらゆる感染が続く恐れがある。ネットワークでのアクティビティーを徹底的に確認し、侵入の痕跡を全て見つけて取り除く必要がある」

　システムをすぐにアップデートできない場合は、Cybereasonが開発したLogout4Shellを適用することも可能だ。実装に必要なのはJavaの基本的なスキルのみだ。

　Logout4Shellは優れた選択肢になるとBugcrowdのエリス氏は言う。「多くのIT部門はLog4j 2が存在する場所のインベントリ作成に悪戦苦闘している。関係するコンポーネントをアップデートする場合、システムが機能を停止しないように依存関係を分析する必要がある」

　「パッチの適用が完了する前に『WannaCry』のような自己増殖型のマルウェアが出現するといったシナリオにもこの迅速な緊急防止が役立つだろう」