話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。
Javaのログ出力ライブラリ「Apache Log4j」の脆弱(ぜいじゃく)性「CVE-2021-44228」は、その存在が公になる前から攻撃に悪用されていたことが分かった。
「Log4Shell」として知られるこの脆弱性は、Apache Log4jを開発したApache Software Foundation によって2021年12月9日(米国時間)に公表された。Log4Shellは標的のシステムに入り込み不正のコードを実行するといった攻撃に使われている。その攻撃活動が始まったのは2021年12月9日よりも前だ。
さまざまな企業でApache Log4jが広く利用されていることから、Log4Shellは極めて危険な脆弱性だと専門家はみる。共通脆弱性評価システム「CVSS」(Common Vulnerability Scoring System)はLog4Shellの深刻度を、「緊急」に相当するスコア「10.0」と評価している。
セキュリティベンダーCloudflareのマシュー・プリンスCEO(最高経営責任者)は、Log4Shellの存在が公表される前から、この脆弱性が攻撃に悪用されていたことを確認したと言う。同氏によれば、Cloudflareが最初に発見したLog4Shell関連の攻撃は2021年12月1日の午前4時36分50秒(協定世界時)だった。ただし公表前の大規模な攻撃は確認していないとプリンス氏は説明する。
Log4Shellが広く知られるようになったのは、ハンドルネーム「p0rz9」を使った匿名のセキュリティ研究者が短文投稿サイト「Twitter」で、攻撃の概念実証(PoC)コードへのリンクを共有したことがきっかけだ。その後、Cloudflareやニュージーランドのセキュリティ専門家部隊が、Log4Shellを悪用した攻撃を報告した。
Apache Software Foundationは米TechTargetに対し、Log4Shellを巡る動きの時系列(全て米国時間)を次のように説明した。同団体によると、最初にLog4Shellの報告を受けたのは2021年11月24日だった。
Log4Shellを悪用した攻撃活動を、Cisco Systemsは2021年12月2日に見つけていたという。Cisco Systems傘下のセキュリティベンダー、Kenna Securityは同社の脆弱性評価システムにおいてLog4Shellの深刻度を100点中93点と評価している。同システムで93点以上が付けられた脆弱性は1%未満だとKenna Securityは説明する。
Cisco Systemsでサイバー脅威のシニア研究員を務めるビトール・ベンチュラ氏はLog4Shellについて「簡単に不正のコード実行を可能にするので、『最悪』に近い脆弱性だ」と述べる。Apache Log4jが企業のシステムで多岐にわたって利用されているため、企業はシステム全体を対象に防御策を講じる必要があるとベンチュラ氏はみる。
新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
トラフィック1300%増、生成AIがEコマースを変える
アドビは、2024年のホリデーシーズンのオンラインショッピングデータを公開した。
「ドメインリスト貸し」は何がマズい? サイトの評判の不正使用について解説
「サイトの評判の不正使用」について理解し、正しい対策が取れるにしましょう。
代理店にもAIにも「丸投げ」はダメ 成果報酬型マーケティングを成功させるポイントは?
「成果報酬型マーケティング」を実現する上でインターネット広告業界が直面する課題とは...