セキュリティの
学び場

今回の解説ニュース

Javaで開発されているシステムでよく使われているAapache Log4jに極めて深刻な脆弱性が発見されました。

パッケージ製品を含めたJavaで開発されたシステムでLog4jが使われていれば至急、最新バージョンへアップデートするなどの対策をしてください。

今回、脆弱性が見つかったのはJavaベースのログ出力ライブラリである「Apache Log4j」です。この脆弱性は「Log4Shell」とも呼ばれており、CVE-2021-44228が付与されています。脆弱性の影響を受けるバージョンは、Apache Log4j 2.0-beta 9 から2.14.1とされていますが、脆弱性を修正した2.15.0でも別の脆弱性がすでに見つかっており、繰り返しになりますが至急、2.16.0以降の最新バージョンへアップデートするなどの対策をしてください。

「Log4jの脆弱性」とは、どのようなものなのか？

Log4jの脆弱性について説明します。Javaで開発された多くの製品が影響を受ける可能性があるので、特にJavaに関連するシステムを運用中の方は、内容についてよく理解してください。

まず、Apache Log4jとは、Javaベースのログ出力に使われるライブラリです。Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換する機能を悪用されると、任意のコードが実行される脆弱性が発見されました。攻撃の概要として、攻撃者はJavaで開発されたシステムにリモートからアクセスするなどして、細工された悪意のあるペイロードをログに書き込むことができた場合、悪意のあるJavaオブジェクトが読み込むことができ、最終的には任意のコードが実行できる可能性があります。

これだけだと良く分からないと思うので、皆さんにもわかるように、できるだけ簡単に説明します。

Aさんが攻撃者だったとします。AさんはLog4jの脆弱性を悪用するために、Webサーバへ片っ端からアクセスします。この時点でAさんは、攻撃対象がLog4jが使われているシステムかどうかを知る必要はありません。
AさんがWebサーバへアクセスする際に送るリクエストには、Aさんが用意した攻撃用サーバへアクセスする情報や、Log4jの脆弱性をつくためのデータが含まれます。Aさんが送ったリクエストの内容は攻撃対象のログに記録され、そのデータがLog4jに渡されます。

もし、攻撃対象のシステムで脆弱性のあるLog4jが動いていた場合、ログに記録されたAさんのリクエストが処理された結果、攻撃対象のシステムからAさんの攻撃用サーバへリクエストが送られてしまいます。このリクエストに悪意のあるレスポンスを返すだけで、任意のコードが実行できてしまいます。

緊急性の高い「Log4jの脆弱性」まずは確認を

Log4jの脆弱性について影響を受けているか自分で確認するためには、まず、システムにLog4jのライブラリが存在するか確認することが必要です。また、すでに攻撃を受けているか確認するためには、システムのログを確認したり、ファイアウォールのログを確認することが有効です。

まずはLog4jのライブラリが存在しているか確認

まず、ご利用中のシステムでLog4jのライブラリが存在しているか確認しましょう。ファイルを検索するコマンドなどで「log4j-core-」の文字列が含まれるファイルを探してください。ファイルが見つかった場合は影響を受ける可能性が高いことになります。実際にLog4jがシステムで使われているかは別の調査が必要になりますが、発見された脆弱性の深刻度を考えると、Log4jのファイルが見つかった時点で対策を検討しても早すぎることはありません。

悪意あるアクセスはないかシステムログを確認

すでに攻撃を受けているか確認するためには、外部から悪意のあるアクセスを受けていないか、システムのログを確認してください。簡易的な調査として「jndi」という文字列を検索することで確認することもできますが、jndiの文字列を使わずに攻撃するパターンも確認されていますので、あくまでも簡易的な調査と理解してください。

システム内部から外部への通信ログを記録しているならば

もし、ファイアウォールなどでシステムの内部から外部への通信をログに記録している場合は、Log4jが動いているシステムから不審な通信が発生していないか確認することも有効です。内部から外部への通信が不要であれば、ファイアウォールで制限することも併せて検討しましょう。

数年に1回あるかないかの規模になりそうなLog4jの脆弱性について取り上げました。今回の配信を聞いて不安に思われた方は、当社でも無償で診断や調査を承っていますので、ご遠慮なく依頼してください。