セキュリティの
学び場

今回の解説ニュース

連日お届けしているApache Log4jの脆弱性について、NISCからも注意喚起が発表されています。パッケージ製品を含めたJavaで開発されたシステムでLog4jが使われていれば至急、最新バージョンへアップデートするなどの対策をしてください。

今回の脆弱性（CVE-2021-44228）が見つかったのは、Apache Log4jのバージョン2.0から2.14.1です。2.15.0にも別の脆弱性が見つかっているので、原則として最新バージョンへアップデートするなどの対策をしてください。Log4jの脆弱性によって、プログラムの異常終了、プログラムの実行、当該サーバーに保存されているデータの改ざん・削除・漏えい等、外部の第三者が任意のコードを実行することができます。

今回の発表では、本脆弱性を悪用する実証コードが公開されており、悪用を試みる通信が発生しているとのことから、IPAやJPCERT/CCから公開されている対策手法を参考に速やかに措置を講じるよう呼びかけています。

CVE-2021-44228の脆弱性は、なぜ深刻度が高いのか？

Log4jで見つかったCVE-2021-44228の影響が大きく、深刻度の高い脆弱性とみなされている理由は、リモートから簡単に攻撃できて、セキュリティ3要素に対して全面的に影響するからです。

今回、発見されたLog4jの脆弱性CVE-2021-44228では、CVSSバージョン3のスコアが最も深刻度の高い10.0とされています。CVSSとは、共通脆弱性評価システムと訳される、脆弱性に対するオープンで汎用的な評価手法です。ベンダーに依存しない共通の評価方法により、脆弱性の深刻度を同一の基準で定量的に比較できるとともに、脆弱性に関して共通の認識が持てるようになります。スコアが表す深刻度は、攻撃に必要な「場所」「条件」「権限」「ユーザの関与」と「脆弱性の影響範囲」「機密性、完全性、可用性への影響」によって決まります。CVSSの各評価項目は脆弱性ごとに公開されているので、Log4jの脆弱性と照らし合わせてみましょう。

まず、場所はネットワーク経由でリモートからでも攻撃可能、簡単に攻撃できることから複雑性は低いとされています。誰でも攻撃できるため必要な権限は不要、何もしなくても攻撃されるのでユーザの関与も不要とされています。脆弱性の影響範囲は別のシステムも影響を受ける可能性があることからスコープに変更があり、セキュリティ3要素である機密性、完全性、可用性に対して全面的に影響するとされています。

結論として、すべての評価項目で影響が大きいとされており、CVSSのスコアが10.0となり、深刻度の高い脆弱性とみなされています。

ソフトウェアアップデート以外に回避策・軽減策はあるのか

暫定的な回避策や軽減策として、Log4jのLookup機能を無効化することや、Log4jが稼働しているシステムから外部への通信を制限することが挙げられますが、あくまでも一時的な対策となりますので、Log4jを最新バージョンへアップデートすることを最優先に検討してください。

回避策としては、Log4jの機能を無効化すること

本脆弱性の回避策として、Log4jの機能を無効化することが挙げられています。Java仮想マシンを起動するときにLog4jのLookup機能を無効にするオプションを指定して起動したり、環境変数でLog4jのLookup機能を無効にすることができます。具体的な手順についてはCVE-2021-44228で検索して、JPCERT/CCやIPAのホームページを参考にしてください。

軽減策としては、システムから外部への通信を制限すること

また、本脆弱性の軽減策として、システムから外部への通信を制限することが挙げられています。Log4jの本脆弱性が悪用されると、外部システムから不正なデータを読み込むために通信が発生します。Log4jの脆弱性が攻撃されても、実際の被害を軽減させるために、不正な接続を遮断することが目的です。

繰り返しになりますが、最新バージョンへアップデートすることが脆弱性を解消する最も確実な方法です。引き続き、Log4jの脆弱性を狙った攻撃や新しい脆弱性が発見される可能性がありますので、いつも以上に気を付けましょう。