世界中のセキュリティチームが、Apache Log4jで発見された重大なセキュリティ上の欠陥である「Log4Shell」の修正に追われている。Log4jは、オンラインゲームから企業のソフトウェア、クラウドのデータセンターに至るまで、あらゆる場所で利用されているオープンソースのログ出力ライブラリだ。そのユビキタス(遍在)は、インターネットを厳戒態勢に入らせ、攻撃者は脆弱なシステムを狙う企みを増加させている。
関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる
Log4Shellはゼロデイ脆弱性(影響を受けた組織がシステムにパッチを適用する対処期間がゼロデイであることから、このように名づけられた)と呼ばれるもので、この脆弱性は、開発者がアプリケーションの実行中に内部で何が起こっているかを記録するために使うLog4jを実行している脆弱なサーバー上で、攻撃者はリモートでコードを実行することができるというものだ。
この脆弱性は、CVE-2021-44228として追跡されており、深刻度は最大の10.0とされている。これは、攻撃者がインターネットを介して脆弱なシステムを、被害者とのやり取りも一切なしに、リモートで完全に制御できることを意味しており、しかも、その実行にはそれほどスキルを必要としないということだ。
当初の報告によると、Log4Shellの悪用は米国時間12月9日に始まったといわれており、Minecraft(マインクラフト)がLog4Shellの最初の有名な被害者として公表された。しかし、Cisco Talos(シスコ・タロス)とCloudflare(クラウドフレア)のセキュリティ研究者によると、Log4Shellが最初に悪用されたのは2週間前だという証拠が見つかったそうだ。Talosはこの欠陥に関連する攻撃者の活動を12月2日に初めて確認したというが、Cloudflareによると、その1日前の12月1日に悪用の成功を観測したとのこと。
「Log4jの悪用で、これまでに我々が見つけた最も早い証拠は、協定世界時2021年12月1日4時36分50秒です」と、Cloudflareの共同創業者兼CEOであるMatthew Prince(マシュー・プリンス)氏はツイートし「これは、少なくとも一般に公開される9日前には自然界に存在していたことを示唆しています。しかし、大規模な悪用の証拠は、一般に公開された後まで見られません」と、述べている。
誰が影響を受けているのか?
Log4Shellのニュースが最初に報じられて以来、被害者の数が増え続けていることから、数千もの有名企業やサービスがこの欠陥の影響を受けている可能性がある。GitHub(ギットハブ)で定期的に更新されているリストによると、Apple(アップル)、Amazon(アマゾン)、Baidu(バイドゥ)、Google(グーグル)、IBM、Tesla(テスラ)、Twitter(ツイッター)、Steam(スチーム)などが影響を受けた組織として挙げられている。これとは別に、VMware(ヴイエムウェア)は自社製品の多くが影響を受けることを顧客に警告する注意書を発表し、Cisco(シスコ)は自社製品の一部がこの欠陥の影響を受けることを確認している。
これらの企業の多くは、すぐに行動を起こしている。Cloudflareは攻撃を防ぐためにシステムを更新したが、悪用された形跡は見られなかったとTechCrunchに述べており、Microsoft(マイクロソフト)はMinecraftユーザー向けにソフトウェアアップデートを発行したとコメント。Valve Corporation(バルブ・コーポレーション)は自社のサービスを「直ちに見直し」、Steamに関連するリスクはないとの結論に達したことを確認している。
iCloud(アイクラウド)サービスに脆弱性があったアップルは、同社のクラウドサービスにパッチを適用したと報じられているが、TechCrunchのコメント要求には応じていない。研究者たちは12月9日と12月10日にiCloudのウェブ・インターフェースが脆弱であることを発見したが、12月11日にはそのエクスプロイトが機能しなくなっていたという。
Log4jソフトウェアを管理しているApache Software Foundation(アパッチ ソフトウェア財団)は、緊急のセキュリティパッチを公開するとともに、すぐにアップデートできない場合の緩和策も発表した。サードパーティによる緩和策も多数用意されている。Huntress Labs(ハントレス・ラブズ)は、企業が自社のシステムを評価するために使用できる無料のLog4Shellスキャナーを作成し、Cybereason(サイバーリーズン)は、無料で利用できるLog4Shellの「ワクチン」をGitHubで提供している。
脆弱性の深刻度は?
Log4Shellの影響を受ける企業やサービスの数が増えるとともに、この脆弱性を悪用した攻撃の数も増えている。マイクロソフトは週末のブログ記事で「暗号資産マイナーやCobalt Strike(コバルト・ストライク)をインストールして、クレデンシャル情報の盗用やラテラルムーブメントを可能にし、侵害されたシステムからデータを流出させるなどの行為が確認された」と述べている。
セキュリティ企業のKryptos Logic(クリプトス・ロジック)も米国時間12月12日に、インターネット上でプロービング(探査)を行っている1万以上の異なるIPアドレスを検出したと発表した。これは10日にLog4Shellをプロービングしていたシステムの数の100倍になる。
また、Cado Security(カドー・セキュリティ)では、積極的な悪用の増加を確認しているという。同社がTechCrunchに語ったところによると、12月11日にはLog4Shellを悪用したMirai(ミライ)ボットネットの活動や、多くのIPにわたるMushtik(ムシュティック)の活動が見られたとのこと。同社は、典型的なエクスプロイトの一連の流れに基づき「Log4Shellを原因とする標的型ランサムウェア攻撃の可能性が非常に高い」と考えているという。
広範に使用されているLog4Shellの性質と、それに続くランサムウェアの可能性を考えると、これは嵐の前の静けさと言えそうだ。脆弱性の修正または緩和は、すべてのセキュリティチームの最優先事項であるべきだ。
画像クレジット:Getty Images
[原文へ]
(文:Carly Page、翻訳:Hirokazu Kusakabe)
