セキュリティの
学び場

今回の解説ニュース

2021年12月に公表されたApache Log4jの脆弱性Log4Shellをついたサイバー攻撃の被害について発表されています。こちらでも何度も取り上げたLog4Shellのおさらいとして、実際に起こっている被害とその対策について説明します。

今回の記事では、DLLサイドローディングの詳細や注目すべき手法やツール、ネットワーク内で他の端末への水平移動・内部活動、情報送出、情報送出後の活動について解説しています。その中でも、VMware社の仮想化ソフトウェア製品VMware Horizonの特定のバージョンで、脆弱性Log4Shellの悪用による攻撃事例を確認し解析したところ、多くが感染端末からの情報漏えいを伴い、一部のケースでは情報漏えいの数日後にランサムウェアに感染したことも判明したということです。

また、VMwareのコマンドラインユーティリティを利用したランサムウェアLockBitによるRaaSの手法についても言及し、ユーティリティを通じてDLLサイドローディングの影響を受けやすいことも示されています。

Apache Log4j とその脆弱性である Log4Shell をおさらい

おさらいもかねて、Apache Log4jとその脆弱性であるLog4Shellについて説明します。

Apache Log4jとは、Javaベースのログ出力に使われるライブラリです。Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換する機能を悪用されると、任意のコードが実行される脆弱性Log4Shellが発見されました。

Log4Shellの脆弱性が見つかったのは、Apache Log4jのバージョン2.0から2.14.1です。2.15.0にも別の脆弱性が見つかっているので、原則として最新バージョンへアップデートしてください。Log4jの脆弱性によって、プログラムの異常終了、プログラムの実行、当該サーバーに保存されているデータの改ざん・削除・漏えい等、外部の第三者が任意のコードを実行することができます。Log4Shellに割り当てられているCVE番号はCVE-2021-44228で、深刻度を表すCVSSバージョン3のベーススコアが最も高い10.0とされています。

Log4Shellの影響が大きく、深刻度の高い脆弱性とみなされている理由は、前提条件なくリモートから簡単に攻撃できて、セキュリティ3要素の機密性、完全性、可用性に対して全面的に影響することが挙げられています。

Log4j の対策は最新バージョンへのアップデートだけで大丈夫？

最新バージョンへアップデートすることが、Log4Shellに限らず、脆弱性を解消する最も確実な方法です。ただし、Log4Shellのように別の脆弱性が発見されたり、最新バージョンでも対策の回避方法が発見されたりする場合がありますので、深刻度の高い脆弱性が発見された場合は、引き続き、最新のセキュリティ情報を収集することを心がけてください。

深刻度が高い脆弱性が発見されると、そのソフトウェアに対して、他の脆弱性が存在していないか、多くのセキュリティ専門家から注目を集めることになります。その結果、他の脆弱性が発見されて、別の修正プログラムが提供される場合があります。

また、脆弱性の修正プログラムが提供されると、ソフトウェアのどこに脆弱性があったか、攻撃者にとっても明確になります。具体的には、修正プログラムやソースコードの差分を分析して、脆弱性をどのように悪用できるか類推することができる場合があります。よって、最新バージョンが提供された直後に、サイバー攻撃が増加する可能性があります。

このような状況を鑑みて、深刻度の高い脆弱性が発見された場合は、常に最新のセキュリティ情報を収集することが求められます。特に重要なシステムでは、EDRなど別のセキュリティ対策も導入して、アップデートが間に合わない際の緩和策として利用することも有効です。

今回は、おさらいとしてLog4Shellについてお届けしました。