2022年02月08日 05時00分 公開
特集/連載

「Log4Shell」を悪用した攻撃 実は脆弱性の公表前から始まっていた?TechTarget発 世界のITニュース

話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。

[Alexander Culafi,TechTarget]

関連キーワード

脆弱性 | 脆弱性対策 | サイバー攻撃


 Javaのログ出力ライブラリ「Apache Log4j」の脆弱(ぜいじゃく)性「CVE-2021-44228」は、その存在が公になる前から攻撃に悪用されていたことが分かった。

 「Log4Shell」として知られるこの脆弱性は、Apache Log4jを開発したApache Software Foundation によって2021年12月9日(米国時間)に公表された。Log4Shellは標的のシステムに入り込み不正のコードを実行するといった攻撃に使われている。その攻撃活動が始まったのは2021年12月9日よりも前だ。

“空白の2週間”に何が? 時系列でみるLog4Shellの発見から情報公開まで

 さまざまな企業でApache Log4jが広く利用されていることから、Log4Shellは極めて危険な脆弱性だと専門家はみる。共通脆弱性評価システム「CVSS」(Common Vulnerability Scoring System)はLog4Shellの深刻度を、「緊急」に相当するスコア「10.0」と評価している。

 セキュリティベンダーCloudflareのマシュー・プリンスCEO(最高経営責任者)は、Log4Shellの存在が公表される前から、この脆弱性が攻撃に悪用されていたことを確認したと言う。同氏によれば、Cloudflareが最初に発見したLog4Shell関連の攻撃は2021年12月1日の午前4時36分50秒(協定世界時)だった。ただし公表前の大規模な攻撃は確認していないとプリンス氏は説明する。

 Log4Shellが広く知られるようになったのは、ハンドルネーム「p0rz9」を使った匿名のセキュリティ研究者が短文投稿サイト「Twitter」で、攻撃の概念実証(PoC)コードへのリンクを共有したことがきっかけだ。その後、Cloudflareやニュージーランドのセキュリティ専門家部隊が、Log4Shellを悪用した攻撃を報告した。

 Apache Software Foundationは米TechTargetに対し、Log4Shellを巡る動きの時系列(全て米国時間)を次のように説明した。同団体によると、最初にLog4Shellの報告を受けたのは2021年11月24日だった。

  • 2021年11月24日:Log4Shellの存在の報告を受ける
  • 2021年11月25日:Log4ShellのCVE(共通脆弱性識別子)を確保し、解決策を調査する
  • 2021年11月26日と2021年11月29日:報告者と話をする
  • 2021年12月4日と2021年12月5日:Apache Log4jの変更が確定する
  • 2021年12月7日:Apache Log4jの修正版のドラフトを用意する
  • 2021年12月8日:改めて報告者と話をした上、防御策を追加し、修正内容を確定させる
  • 2021年12月9日:Apache Log4jの修正版を公開する

Cisco Systemsも公表前からの攻撃を発見

 Log4Shellを悪用した攻撃活動を、Cisco Systemsは2021年12月2日に見つけていたという。Cisco Systems傘下のセキュリティベンダー、Kenna Securityは同社の脆弱性評価システムにおいてLog4Shellの深刻度を100点中93点と評価している。同システムで93点以上が付けられた脆弱性は1%未満だとKenna Securityは説明する。

 Cisco Systemsでサイバー脅威のシニア研究員を務めるビトール・ベンチュラ氏はLog4Shellについて「簡単に不正のコード実行を可能にするので、『最悪』に近い脆弱性だ」と述べる。Apache Log4jが企業のシステムで多岐にわたって利用されているため、企業はシステム全体を対象に防御策を講じる必要があるとベンチュラ氏はみる。

TechTarget発 世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。

ITmedia マーケティング新着記事

news072.jpg

超リッチなイーロン・マスク氏の「言論の自由」は、あなたのそれと同じなのか?
Twitter買収の大義名分とされる「言論の自由」。しかし、同じことを語っているつもりでも...

news204.jpg

新卒の営業職が仕事をやりたくない時期、最多は「5月」 ―― RevComm調査
新卒営業社員は5月に最初の「壁」を感じるようです。

news069.jpg

「メタバース」でどうやってもうけるの? Meta(旧Facebook)が考える収益化への道
Metaの中核をなすメタバースプラットフォームのマネタイズ計画が明確になりつつある。高...