Log4jの脆弱性

Log4jはプログラミング言語のJavaで使用されているロギングライブラリのことで、利用状況等を記録しておくものです。
2021/12/10、セキュリティ界隈を騒がせるLog4jの脆弱性が報告されました。
この脆弱性はLog4Shellと名付けられ、共通脆弱性評価システムCVSSでは最高点である10.0として評価、緊急レベルで対処すべき問題であると判断されました。
あまりに危険すぎる脆弱性であることから「多数のコンピュータに破壊的な影響を与える」、「インターネット暗黒期の到来」等々、影響の甚大さに対して大げさすぎない警鐘が鳴らされています。

Log4Shellの攻撃

ランサムウェアのひとつ、WannaCryのようにTVで報道されているわけでもないため、その危険度合はイメージしづらいかもしれません。
Log4Shellの攻撃ステップを簡単に説明すると以下となります。

1. 悪意のある者が攻撃対象に特定の文字列を送付(メールでも入力フォームでもなんでも)
2. 攻撃対象とされたサーバはそれをトリガーに"外部からの指示"を実行。

外部からの指示とは、例えばデータ全消し、機器乗っ取り、機密情報の盗取、WannaCryを仕込んでデータ暗号化からの身代金要求等があげられます。

攻撃方法も簡単、しかもLog4jは多数のコンピュータデバイスで使用されているため、影響を受ける対象があまりにも多すぎるのです。

有名ゲームも危険な状態に

Log4Shellによって攻撃を受ける可能性のあるサービスとしてはAWS,iCloud,Twitter等が報告されており、MicrosoftのゲームMinecraftはその危険性からゲームユーザ間では大騒ぎとなりました。
MinecraftではチャットのログにLog4jを使用しており、チャットに特定の文字列を入れるだけで攻撃が出来てしまうというもの。
あまりにも簡単かつ被害が大きすぎるため、早急なメンテナンスを余儀なくされました。

対策はどうする

Log4Shellが報告された後の攻撃試行は、たった1日で数百倍に上昇しました。
弊社からお客様に提供/運用している機器においても日々、様々な攻撃を検知していますが、Log4Shell公開後はこれに関連していると思われる攻撃を多数防御しています。
根本的な解決には修正されたバージョンへの更新が推奨されていますが、どれが対象デバイスであるのか、更新後の業務に与える影響はどれくらいなのか等、様々な観点からこの課題に取り組まなければいけません。
またこれらの確認/更新作業は人為的な介入が必要不可欠であり、人員と時間のリソースを激しく消費します。
その間にも社内資産は常に危険にさらされています。

UTMは有効な対策手段のひとつ

事前にUTMを導入しておくことで、新たな脆弱性が発見されても被害を低減させることが期待できます。
Log4Shellが報告されてから間もなく、各セキュリティメーカーはUTMのアップデートを図り、早い段階で攻撃を検知/遮断することができました。

UTMで保護されていれば、社内資産を危険にさらす事無く脆弱性の影響を受ける対象の洗い出しと更新作業を行う事が出来ます。
なおUTMでLog4Shellの攻撃を遮断するために必要な手続き処理はありません。これはシグネチャを自動更新しているためです。
※シグネチャとは攻撃パターンの手配書のようなもの。

UTMはあらゆるセキュリティリスクの100%を保障するものではありませんが、24時間動的に保護することの恩恵が大きいことは間違いありません。
Log4Shellの攻撃を受けないよう、改めて社内環境とセキュリティに視野を広げてみてはどうでしょうか。

サービス紹介ページ:セキュリティサービス‐UTM(統合脅威管理)

3分解説ブログシリーズ:　
　【3分解説】UTMの導入検討ポイント
　【3分解説】IoT機器の更新チェック
　【3分解説】SMS利用のフィッシング詐欺、スミッシング
　【3分解説】MITRE ATT&CKフレームワーク
　【3分解説】アンチウイルスソフトの種類

参考サイト:
JVNDB-2021-005429 - JVN iPedia - 脆弱性対策情報データベース
　JVN　Apache Log4j における任意のコードが実行可能な脆弱性
IPA 独立行政法人 情報処理推進機構
　Apache Log4j の脆弱性対策について(CVE-2021-44228)