こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
トレンドマイクロ株式会社は12月11日、「Apache Log4j」ライブラリに深刻なゼロデイ脆弱性が発覚したと同社ブログで発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Javaで開発されているシステムでよく使われているAapache Log4jに極めて深刻な脆弱性が発見されました。
パッケージ製品を含めたJavaで開発されたシステムでLog4jが使われていれば至急、最新バージョンへアップデートするなどの対策をしてください。
今回、脆弱性が見つかったのはJavaベースのログ出力ライブラリである「Apache Log4j」です。この脆弱性は「Log4Shell」とも呼ばれており、CVE-2021-44228が付与されています。脆弱性の影響を受けるバージョンは、Apache Log4j 2.0-beta 9 から2.14.1とされていますが、脆弱性を修正した2.15.0でも別の脆弱性がすでに見つかっており、繰り返しになりますが至急、2.16.0以降の最新バージョンへアップデートするなどの対策をしてください。
Log4jの脆弱性について説明します。Javaで開発された多くの製品が影響を受ける可能性があるので、特にJavaに関連するシステムを運用中の方は、内容についてよく理解してください。
まず、Apache Log4jとは、Javaベースのログ出力に使われるライブラリです。Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換する機能を悪用されると、任意のコードが実行される脆弱性が発見されました。攻撃の概要として、攻撃者はJavaで開発されたシステムにリモートからアクセスするなどして、細工された悪意のあるペイロードをログに書き込むことができた場合、悪意のあるJavaオブジェクトが読み込むことができ、最終的には任意のコードが実行できる可能性があります。
これだけだと良く分からないと思うので、皆さんにもわかるように、できるだけ簡単に説明します。
Aさんが攻撃者だったとします。AさんはLog4jの脆弱性を悪用するために、Webサーバへ片っ端からアクセスします。この時点でAさんは、攻撃対象がLog4jが使われているシステムかどうかを知る必要はありません。
AさんがWebサーバへアクセスする際に送るリクエストには、Aさんが用意した攻撃用サーバへアクセスする情報や、Log4jの脆弱性をつくためのデータが含まれます。Aさんが送ったリクエストの内容は攻撃対象のログに記録され、そのデータがLog4jに渡されます。
もし、攻撃対象のシステムで脆弱性のあるLog4jが動いていた場合、ログに記録されたAさんのリクエストが処理された結果、攻撃対象のシステムからAさんの攻撃用サーバへリクエストが送られてしまいます。このリクエストに悪意のあるレスポンスを返すだけで、任意のコードが実行できてしまいます。
Log4jの脆弱性について影響を受けているか自分で確認するためには、まず、システムにLog4jのライブラリが存在するか確認することが必要です。また、すでに攻撃を受けているか確認するためには、システムのログを確認したり、ファイアウォールのログを確認することが有効です。
数年に1回あるかないかの規模になりそうなLog4jの脆弱性について取り上げました。今回の配信を聞いて不安に思われた方は、当社でも無償で診断や調査を承っていますので、ご遠慮なく依頼してください。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
