「Log4Shell」を悪用した攻撃 実は脆弱性の公表前から始まっていた？：TechTarget発 世界のITニュース

話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。

[Alexander Culafi，TechTarget]

　Javaのログ出力ライブラリ「Apache Log4j」の脆弱（ぜいじゃく）性「CVE-2021-44228」は、その存在が公になる前から攻撃に悪用されていたことが分かった。

　「Log4Shell」として知られるこの脆弱性は、Apache Log4jを開発したApache Software Foundation によって2021年12月9日（米国時間）に公表された。Log4Shellは標的のシステムに入り込み不正のコードを実行するといった攻撃に使われている。その攻撃活動が始まったのは2021年12月9日よりも前だ。

“空白の2週間”に何が？　時系列でみるLog4Shellの発見から情報公開まで

併せて読みたいお薦め記事

脆弱性を巡る最近の動向

• プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは？
• クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”

　さまざまな企業でApache Log4jが広く利用されていることから、Log4Shellは極めて危険な脆弱性だと専門家はみる。共通脆弱性評価システム「CVSS」（Common Vulnerability Scoring System）はLog4Shellの深刻度を、「緊急」に相当するスコア「10.0」と評価している。

　セキュリティベンダーCloudflareのマシュー・プリンスCEO（最高経営責任者）は、Log4Shellの存在が公表される前から、この脆弱性が攻撃に悪用されていたことを確認したと言う。同氏によれば、Cloudflareが最初に発見したLog4Shell関連の攻撃は2021年12月1日の午前4時36分50秒（協定世界時）だった。ただし公表前の大規模な攻撃は確認していないとプリンス氏は説明する。

　Log4Shellが広く知られるようになったのは、ハンドルネーム「p0rz9」を使った匿名のセキュリティ研究者が短文投稿サイト「Twitter」で、攻撃の概念実証（PoC）コードへのリンクを共有したことがきっかけだ。その後、Cloudflareやニュージーランドのセキュリティ専門家部隊が、Log4Shellを悪用した攻撃を報告した。

　Apache Software Foundationは米TechTargetに対し、Log4Shellを巡る動きの時系列（全て米国時間）を次のように説明した。同団体によると、最初にLog4Shellの報告を受けたのは2021年11月24日だった。

• 2021年11月24日：Log4Shellの存在の報告を受ける
• 2021年11月25日：Log4ShellのCVE（共通脆弱性識別子）を確保し、解決策を調査する
• 2021年11月26日と2021年11月29日：報告者と話をする
• 2021年12月4日と2021年12月5日：Apache Log4jの変更が確定する
• 2021年12月7日：Apache Log4jの修正版のドラフトを用意する
• 2021年12月8日：改めて報告者と話をした上、防御策を追加し、修正内容を確定させる
• 2021年12月9日：Apache Log4jの修正版を公開する

Cisco Systemsも公表前からの攻撃を発見

　Log4Shellを悪用した攻撃活動を、Cisco Systemsは2021年12月2日に見つけていたという。Cisco Systems傘下のセキュリティベンダー、Kenna Securityは同社の脆弱性評価システムにおいてLog4Shellの深刻度を100点中93点と評価している。同システムで93点以上が付けられた脆弱性は1％未満だとKenna Securityは説明する。

　Cisco Systemsでサイバー脅威のシニア研究員を務めるビトール・ベンチュラ氏はLog4Shellについて「簡単に不正のコード実行を可能にするので、『最悪』に近い脆弱性だ」と述べる。Apache Log4jが企業のシステムで多岐にわたって利用されているため、企業はシステム全体を対象に防御策を講じる必要があるとベンチュラ氏はみる。

TechTarget発　世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。