「Log4Shell」攻撃活動はなぜ“尋常ではない”のか 企業が打つべき対策とは？：TechTarget発 世界のITニュース

「Apache Log4j」の脆弱性「Log4Shell」の攻撃は専門家も驚くほどの勢いを見せ、企業を狙っている。なぜ、これほど猛烈なのか。企業はどうすればいいのか。

[Shaun Nichols，TechTarget]

　「Log4Shell」として知られる、Javaのログ出力ライブラリ「Apache Log4j」の脆弱（ぜいじゃく）性「CVE-2021-44228」の悪用が活発化している。セキュリティベンダーArmisの最高技術責任者（CTO）、ナディール・イズラエル氏は、2021年12月に公表されたLog4Shellについて「攻撃が拡大する速度と規模は他の脆弱性と比べて尋常ではない」と述べる。

1分当たり3000回以上の攻撃の試み　「尋常ではない」Log4Shellの攻撃活動とは？

併せて読みたいお薦め記事

脆弱性を巡る最近の動向

• プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは？
• クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”

　Armisは同社製品のユーザー企業のうち、約3割がLog4Shellを悪用した攻撃の的になり得るとみている。セキュリティ専門家は、ハッカーがLog4Shellによって企業のシステムに入り込んで任意のコードを実行するといった攻撃が発生していると説明する。セキュリティ研究者のグレッグ・リナレス氏によれば、2021年12月15日早朝（現地時間）には、Log4Shellを使った攻撃の試みは毎分約3400回だった。中には、情報窃盗やランサムウェア（身代金要求型マルウェア）の拡散を狙った攻撃もあったとリナレス氏は言う。

　Log4Shellを使った攻撃の勢いの理由として、イズラエル氏はApache Log4jが企業の間で広く使われていることと、Log4Shellの悪用のしやすさが重なっていることを挙げている。Log4Shellによる攻撃は大規模なデータ流出につながりかねないため、同氏は企業に対してすぐに対策を講じるよう呼び掛けている。

　これまで、Log4Shellによる攻撃は主にインターネットに接しているサーバを標的としてきた。Armisによれば、今後はIoT（モノのインターネット）デバイスを狙った攻撃も増える可能性がある。同社は産業用デバイスや監視カメラ、一般消費者のWebカメラなど、さまざまなIoTデバイスに注意が必要だとみている。

Apache Log4jに潜む「もう一つの脆弱性」とは

　2021年12月中旬、Log4Shellの発見から約1週間後にApache Log4jの2つ目の脆弱性「CVE-2021-45046」が見つかった。CVE-2021-45046はLog4Shellから派生した脆弱性で、「Apache Log4j 2.15.0」をインストールした一部のシステムに存在する。この脆弱性はLog4Shellと比べて大規模な攻撃のリスクは低いものの、DoS（サービス拒否）攻撃に悪用される恐れがあるという。企業はApache Log4jを最新版「Apache Log4j 2.16.0」に更新すれば、Log4ShellとCVE-2021-45046の両方の対処ができる。

TechTarget発　世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。