Apache Log4j2のRCE脆弱性（CVE-2021-44228）を狙った攻撃について

twitter上に投稿されたCloudflare社のCEO、Matthew Prince氏のツイート（https://twitter.com/eastdakota/status/1469800951351427073 、2021年12月1日に最初のExploit（攻撃）が行われた記録を確認したという内容）をはじめとした多数の有識者による、今では “log4shell” と呼ばれる未知の脆弱性による攻撃の一次報告によって、世界中のセキュリティ業界に激震が走りました。

Apach Log4j はJavaのログ記録ユーティリティ（API）です。システムでは「ログ＝履歴、記録」を記録するのは重要ですので、このAPIはJavaを利用しているシステムでは非常によく使われ、広く世の中で利用されています。

今回、このLog4jの機能に新たな脆弱性が発見されました。その脅威度を表す指標の値は最高の10.0であり、かつ悪用すれば攻撃文字列を送るだけで不正なプログラムをダウンロード・実行させることが可能です。これほど容易に、かつ広範囲に影響するリスクは、数年に一度見るかどうかの、極めて危険な脆弱性と言えます。

本件は一刻も早く対処すべきです。過去には Web アプリケーション開発用のソフトウェアである、Apache Struts2 の重大な脆弱性を放置したことによって 米国企業の Equifaxが引き起こしたような大事件（米国で約1億4300万人分の金融情報が窃取された）を引き起こしかねません。

本件はWebアプリケーションにも関連する脆弱性であり、根本解決しようとするとWebサービス自体をいったん止めるなどの手間が発生することもあって、修正が難しい（アップグレードはもちろん再起動もハードルが高い）というのが実情です。

しかしながら、この脆弱性を放置したままでは高確率で、いつ自分たちのWebサイトが悪意ある第三者に狙われ、大量の個人情報や機密情報が漏洩し、クレジットカード情報が窃取され、またWebサイトの改ざんや乗っ取り被害などといった、大きな被害を被ってしまうか分かりません。

Apache Strtus2 の脆弱性は、Equifax だけでなく、2017年に多くの被害事例を引き起こした事例があり、国内でも多くのWebサイトが外部からの不正アクセスを受けた事例が存在しました。その一部では攻撃が成功して、同時期に個人情報や機密情報、クレジットカード情報等が盗まれたり、重要データが削除されたり、といった被害が発生しました。

つい直近においても、ECサイトの制作と運用を委託されていた企業のシステムの脆弱性を利用した攻撃があり、2021年12月9日時点で11社から情報流出の可能性が公表されました。今回の Apache Log4j の脆弱性もこのような大きな被害につながることが想定されますので、速やかな対策を推奨致します。

今回の事例は、Webアプリケーションに対して、弊社でもサービスをご提供している「WAF」を導入することが、有用な対策の一つです。サイバーセキュリティクラウドの提供するWAFサービスでは、観測された実際の攻撃データ、難読化のパターン等に基づいて防御ルールを作成し、ユーザー様にご提供しています。

下記ページで詳細の解説も掲載しておりますので、併せてお読みください。
Apache Log4j2のRCE脆弱性（CVE-2021-44228）を狙った攻撃について（詳細解説）

脆弱性監視製品であるSID㎙において、監視対象について本脆弱性にかかる影響をまとめ、以下のページにて公開（随時更新）しておりますので、こちらの情報もお役立て下さい。

https://www.softek.co.jp/SID/blog/archive/entry/20211215.html