『Log4j向け無償セキュリティ診断・フォレンジック調査』の提供を開始

サービス 2021.12.20

十分なセキュリティ対策を行うことが難しい企業のセキュリティ向上に貢献します。

SHIFT SECURITYでは、⼀般社団法⼈JPCERTコーディネーションセンターより公開された「Apache Log4jにおける任意のコードが実⾏可能な脆弱性」の注意喚起をうけ、脆弱性診断を無償で請け負う「Log4j向け無償セキュリティ診断・フォレンジック調査」を開始いたしました。

正式名称	Log4j向け無償セキュリティ診断・フォレンジック調査
開始時期	2021年12月20日から提供開始
診断範囲	Log4Shell脆弱性(CVE-2021-44228)
診断フロー	①フォームから申し込み→②診断→③メールにて結果報告
申込方法	お申込みフォームよりお問い合わせください https://www.shiftsecurity.jp/log4j/

12月7日、ログ管理ライブラリであるApache Log4jで任意のコード実行の脆弱性に対する修正パッチが発表されました。この脆弱性はLog4Shellと呼ばれ、ログ出力される文字列に特定の文字列が含まれている場合に、不正なプログラムをダウンロード、実行してしまうというものです。

Log4jはJavaによるシステムで最もよく使用されるライブラリの一つであり、攻撃に成功した場合の影響が深刻であるうえに遠隔からの攻撃も可能であったことから、すでに国内でも攻撃試行が確認されており、多くのサービスが対応に追われています。

今回のように緊急度の高い脆弱性は影響範囲が広く、火急な対応が必要となります。しかし、対策を行う場合、セキュリティの技術と知見のある人員が必要となり、外部の会社に委託した場合にはコストがかかるため十分な対策を取れない場合もあります。

SHIFT SECURITYは、「笑顔をつくる」という理念のもと、脆弱性診断の専門会社として「コストがかかるためセキュリティ対策に取り組めない企業の力になることは社会的役割の一つである」と定め、この度、発覚した『Log4jの脆弱性(CVE-2021-44228)において、コストの問題や人員不足、専門知識の不足でセキュリティ対策ができない企業に無償診断を提供し、セキュリティの向上に貢献します。

※1 JPCERT「Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起」
https://www.jpcert.or.jp/at/2021/at210050.html

Log4j向け無償セキュリティ診断・フォレンジック調査でわかること

無償セキュリティ診断では「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の2種類をご用意しています。

◇脆弱性診断
ご依頼されたページに対して、ログ出⼒されやすい情報であるURLとヘッダ（User-Agent, Referer）を対象にして脆弱性の概念実証コードを送信し、サーバの応答を確認します。攻撃検知に対応しているセキュリティ製品も多く、調査時にはアラートが出るおそれがありますのでご注意ください。

診断でわかること
・本脆弱性の影響を受けうるシステムかどうか
・URLや特定のヘッダに脆弱性があるかどうか
※ログ出⼒されやすい情報であるURLとヘッダ（User-Agent, Referer）を対象に検査を⾏います
・どのような対策を講じるべきか

◇フォレンジック調査(攻撃の痕跡確認)
今回、確認されたLog4Shell脆弱性(CVE-2021-44228)のにより攻撃をうけていたかどうか「攻撃の痕跡有無」を調査いたします。調査には「Webサーバのアクセスログのご提供」が必要となります。

診断結果は最短翌営業日までにメールにて診断結果をご報告いたします。
※依頼が集中するとお待たせする場合があります

申込方法	お申込みフォームよりお問い合わせください https://www.shiftsecurity.jp/log4j/

SHIFT SECURITYは、これからもさまざまな活動を通じてソフトウェアを誰もが安心・安全に使える社会の実現に貢献していきます。