IT時事ネタキーワード「これが気になる!」(第106回) 「Log4Shell」にご注意。放置せず対策を

脅威・サイバー攻撃 IT・テクノロジー

公開日:2022.09.30

 2021年12月9日、英Apache Software Foundationは、同団体がOSS(オープンソースソフトウエア。ソースコードが公開され、無償で誰でも自由に改変、再配布が可能)として提供する「Apache Log4j」(以下、Log4j)の複数バージョンにリモートコード実行の脆弱性(CVE-2021-44228)が存在することを公表した。この脆弱性は「Log4Shell」と呼ばれている。

 Log4jは、Java言語で開発されたエラー情報などのログ(記録)を外部に出力する機能を提供するOSS。WebサーバーならユーザーからアクセスされたURLを記録する、チャットアプリならメッセージの履歴を記録するなどで使われる便利なソフトウエアパーツで、WindowsやLinux、Mac、IoT、家庭用デバイスなどで広く利用されている。

「Log4Shell」と呼ばれる脆弱性とは何か?

 今回見つかった脆弱性は、ログとして記録された文字列から一部の文字列を変数として置きかえる機能「JNDI Lookup」を悪用、任意のコード(悪意のあるプログラムなど)を容易にリモート実行できてしまう危険性をはらんでいる。実際、Apache Software Foundationは、Log4ShellのCVSSレーティング(脆弱性の危険度を表す国際基準)を最高値である「10」としている。

IPAも注意喚起。脆弱性は各種アプリケーションやWebサービスに存在

 Log4Shellは、ゼロデイ攻撃の一種。一般的にソフトウエアの脆弱性は、基本的には修正バージョンに更新する、影響の少ないソフトウエアで代替する、などの対策で解決する。ところがLog4jは、すぐに修正バージョンが公開されたものの、広い範囲で使われている点やソフトウエアそのものでなくパーツに過ぎないため、物によっては特定も難しい。

 脆弱性の発見から約10か月を経てパッケージソフトウエアなどはほぼ対応ずみだが、未だにすべてのソフトウエアが対応できているとはいえない状況だ。脆弱性を抱えたまま放置されたソフトウエアが悪者に利用されれば、組織の存在を揺るがす可能性もあるランサムウエア攻撃などをされかねない現実が、まだ目の前にある。

 IPAから出された注意喚起「Apache Log4jの脆弱性対策について」(昨年12月)には、「本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください」とある。

 また、IPAのコラム「Log4shellは何故これだけ騒がれたのか」には、この脆弱性が注目される理由は3つあるとし、1つは脆弱性を評価する「CVSSスコア」が最高値である点が、2つには非常に広く使用されていること、そして3つには悪用が容易であることを挙げている。

 JPCERT/CC「Apache Log4jの任意のコード実行の脆弱性に関する注意喚起」では、対象を「Apache Log4j-core 2.15.0より前の2系のバージョン」とし、該当する場合は開発元などの情報をチェック、速やかにアップデートを行う、加えて通信ログなどを参照して対策するまでに攻撃を受けていないか確認することを推奨している。

 今回の脆弱性はMicrosoftの人気ゲーム「Minecraft」やApple社の「iCloud」、その他にもTwitter、Steam、LinkedInなど、一般ユーザーに身近なアプリやサービスが影響を受けることでも話題を呼んだ。これらは早々に対応ずみだが、念のため提供元の関連情報(例えばMinecraft)やアプリのバージョンを確認しよう。

Log4Shellを利用した脅威とは。その事例

 8月22日に公開されたトレンドマイクロの「脆弱性Log4ShellによりVMware製品において情報漏えいやランサムウエアの被害が発生」では、VMware社の仮想化ソフトウエア製品VMware Horizonで、脆弱性Log4Shellが悪用された攻撃事例を具体的に解析、その手口を紹介している。

 事例によれば、感染後1日以内に、Log4Shellによりコマンドが実行され、不正なプログラムをダウンロード。そして、認証情報を作成して検索用コマンドを実行し、内部活動のためのツールや不正ファイルを感染端末に作成、情報送信が実行されたという。ランサムウエアへの感染は11日目だったというが、この間にサーバーのデータの買い主を探していたと思われる。

 上記の事例は、「リモートで乗っ取られればあとは攻撃者の意のまま」ともいえる状況を物語る。このように任意のコードがリモート環境で実行される脆弱性を「RCE」(Remote Code Execution、リモートコード実行)と呼ぶ。

 この脆弱性で想定される被害の1つは情報漏えいだが、近年の悪者は情報を盗むだけでは飽き足らない。ランサムウエア被害は、この脆弱性発見後すぐに報告されているが、感染させられるとデータが暗号化され、復旧に身代金を要求される。最近は身代金を払わない場合に情報を公開すると脅す二重脅迫も横行、甚大な被害を受けかねない。

 DDoS攻撃などの踏み台となって悪事の片棒を担がされる可能性もある。暗号通貨のマイニングに利用されることもある。マイニングの間に他への攻撃を行わせるマルウエアもある。Log4jがWebサーバーやWebサービスに多く使われる事情から、Webサイトの改ざんが行われる可能性もある。データの改ざんやファイルの漏えいの他、訪問者がマルウエア感染の被害に遭ったり、偽サイトへ誘導される、個人情報を盗まれたり、などが想定される。

今後の対策に必要な視点

 Log4Shellの脆弱性被害は、金銭はもちろんだが、企業イメージや信用を落とすリスクも甚大で、事業継続に大きな壁が立ちはだかる事態にもなり得る。あらかじめ防ぐに越したことはない。

 しかし、Log4jは先述のようにどこに用いられているか分からないという問題がある。社内で使われる可能性のあるすべてのソフトウエア一覧、バージョンや開発元・連絡先をリストアップ、情報収集して対策するのが第一歩となる。

 自社対策が難しい場合は、しかるべき機関に相談するのもよい。IPAの情報セキュリティ安全相談窓口、中小企業向けの「サイバーセキュリティお助け隊」も頼りになるだろう。脆弱性対策向けのソリューションも検討の価値はある。自社に合ったものを探すとよいだろう。

 この脆弱性を狙った攻撃は、Webサーバーをターゲットにしやすく、WebサイトやECサイト、Webサービス、Webアプリの提供などを行っている場合は早急な対策が必要だ。特に今後起こるトラブルも想定した有効な対処方法として、WAF(Web Application Firewall)がある。

 Log4Shellは、修正プログラムが公開されているにもかかわらず放置していた企業が被害に遭う、という話も聞く。普段からセキュリティ対策の重要さを認知し、一人ひとりの意識を高めて標的型メールやケアレスミスなどの人的被害をゼロにするよう努力し、情報をチェックすることや、定期的なメンテナンスを行うなどの積み重ねが大事だ。

執筆=青木 恵美

長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム(バックナンバーあり)。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワード これが気になる!」「知って得する!話題のトレンドワード」を好評連載中。

【TP】

あわせて読みたい記事

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

IT時事ネタキーワード「これが気になる!」

もっと見る

カテゴリー 一覧