サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 セキュリティ界隈を騒がせた「Log4j の脆弱性」について再確認

セキュリティ界隈を騒がせた「Log4j の脆弱性」について再確認

セキュリティ界隈を騒がせた「Log4j の脆弱性」について再確認
目次
  • 今回の解説ニュース
  • Apache Log4j とその脆弱性である Log4Shell をおさらい
  • Log4j の対策は最新バージョンへのアップデートだけで大丈夫?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

トレンドマイクロ、VMware製品での脆弱性Log4Shellの悪用による攻撃事例を確認

トレンドマイクロ株式会社は8月16日、脆弱性「Log4Shell」によるVMware製品での情報漏えいやランサムウェア被害について発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

2021年12月に公表されたApache Log4jの脆弱性Log4Shellをついたサイバー攻撃の被害について発表されています。こちらでも何度も取り上げたLog4Shellのおさらいとして、実際に起こっている被害とその対策について説明します。

今回の記事では、DLLサイドローディングの詳細や注目すべき手法やツール、ネットワーク内で他の端末への水平移動・内部活動、情報送出、情報送出後の活動について解説しています。その中でも、VMware社の仮想化ソフトウェア製品VMware Horizonの特定のバージョンで、脆弱性Log4Shellの悪用による攻撃事例を確認し解析したところ、多くが感染端末からの情報漏えいを伴い、一部のケースでは情報漏えいの数日後にランサムウェアに感染したことも判明したということです。

また、VMwareのコマンドラインユーティリティを利用したランサムウェアLockBitによるRaaSの手法についても言及し、ユーティリティを通じてDLLサイドローディングの影響を受けやすいことも示されています。

Apache Log4j とその脆弱性である Log4Shell をおさらい

おさらいもかねて、Apache Log4jとその脆弱性であるLog4Shellについて説明します。

Apache Log4jとは、Javaベースのログ出力に使われるライブラリです。Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換する機能を悪用されると、任意のコードが実行される脆弱性Log4Shellが発見されました。

Log4Shellの脆弱性が見つかったのは、Apache Log4jのバージョン2.0から2.14.1です。2.15.0にも別の脆弱性が見つかっているので、原則として最新バージョンへアップデートしてください。Log4jの脆弱性によって、プログラムの異常終了、プログラムの実行、当該サーバーに保存されているデータの改ざん・削除・漏えい等、外部の第三者が任意のコードを実行することができます。Log4Shellに割り当てられているCVE番号はCVE-2021-44228で、深刻度を表すCVSSバージョン3のベーススコアが最も高い10.0とされています。

Log4Shellの影響が大きく、深刻度の高い脆弱性とみなされている理由は、前提条件なくリモートから簡単に攻撃できて、セキュリティ3要素の機密性、完全性、可用性に対して全面的に影響することが挙げられています。

Log4j の対策は最新バージョンへのアップデートだけで大丈夫?

最新バージョンへアップデートすることが、Log4Shellに限らず、脆弱性を解消する最も確実な方法です。ただし、Log4Shellのように別の脆弱性が発見されたり、最新バージョンでも対策の回避方法が発見されたりする場合がありますので、深刻度の高い脆弱性が発見された場合は、引き続き、最新のセキュリティ情報を収集することを心がけてください。

深刻度が高い脆弱性が発見されると、そのソフトウェアに対して、他の脆弱性が存在していないか、多くのセキュリティ専門家から注目を集めることになります。その結果、他の脆弱性が発見されて、別の修正プログラムが提供される場合があります。

また、脆弱性の修正プログラムが提供されると、ソフトウェアのどこに脆弱性があったか、攻撃者にとっても明確になります。具体的には、修正プログラムやソースコードの差分を分析して、脆弱性をどのように悪用できるか類推することができる場合があります。よって、最新バージョンが提供された直後に、サイバー攻撃が増加する可能性があります。

このような状況を鑑みて、深刻度の高い脆弱性が発見された場合は、常に最新のセキュリティ情報を収集することが求められます。特に重要なシステムでは、EDRなど別のセキュリティ対策も導入して、アップデートが間に合わない際の緩和策として利用することも有効です。

今回は、おさらいとしてLog4Shellについてお届けしました。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ