広く利用されているJavaログ出力ライブラリで見つかった問題の影響を受け、AppleのiCloud、Twitter、Cloudflare(クラウドフレア)、Minecraft(マインクラフト)、Steam(スチーム)など、数多くの人気サービスが、ゼロデイ脆弱性にさらされていることが報告されている。
膨大な数のアプリ、ウェブサイト、サービスで使用されているオープンソースのログユーティリティ「Apache Log4j」に発見されたこの脆弱性は、Alibaba(アリババ)のChen Zhaojun(チェン・ジャオジュン)氏が報告したもので、LunaSec(ルナセック)の研究者によって「Log4Shell」と名づけられた。Log4Shellが最初に発見されたのは、Microsoft(マイクロソフト)が所有するMinecraftだったが、LunaSecは、主なJavaベースの企業向けアプリやサーバーのほぼすべてにLog4jが「ユビキタス」に存在していることから「非常に多くのサービス」が悪意のある行為に対して脆弱であると警告している。このサイバーセキュリティ会社は、ブログ記事の中で、Apache Struts(アパッチ・ストラッツ)を使用している人は誰もが「おそらく脆弱である」と警告した。
これまでにLog4Shell攻撃に脆弱であることが確認されたサーバーを持つ企業は、Apple(アップル)、Amazon(アマゾン)、Cloudflare、Twitter、Steam、Baidu(百度、バイドゥ)、NetEase(ネットイース)、Tencent(テンセント)、Elastic(エラスティック)などだが、他にも数千とまではいかなくとも数百の組織が影響を受けている可能性がある。Cloudflareは、TechCrunchに寄せた声明で、攻撃を防ぐためにシステムを更新したと述べており、悪用された形跡はないと付け加えている。
NSA(米国家安全保障局)のサイバーセキュリティ担当ディレクターであるRobert Joyce(ロバート・ジョイス)氏は、同局が開発した無償でオープンソースのリバースエンジニアリングツール「GHIDRA」も影響を受けることを確認した。「Log4jの脆弱性は、NSAのGHIDRAも含め、ソフトウェアのフレームワークに広く搭載されているため、悪用される恐れが大きい」と、同氏は述べている。
ニュージーランドのCERT(コンピューター緊急対応チーム)や、ドイツテレコムのCERT、そしてウェブ監視サービスのGreynoise(グレイノイズ)は、攻撃者がLog4Shell攻撃を仕掛けるための脆弱なサーバーを積極的に探していると警告している。Greynoiseによると、約100の異なるホストがインターネット上でLog4jの脆弱性を悪用する場所をスキャンしているとのことだ。
HackerOne(ハッカーワン)のシニアセキュリティテクノロジストであるKayla Underkoffler(カイラ・アンダーコフラー)氏は、今回のゼロデイ脆弱により「世界の重要なサプライチェーンに対する攻撃において、オープンソースソフトウェアがもたらす脅威が増大している」ことが明らかになったと、TechCrunchに語った。
「オープンソースソフトウェアは、現代のデジタルインフラストラクチャのほぼすべてを支えており、平均的なアプリケーションでは528種類のオープンソースコンポーネントが使用されています」と、アンダーコフラー氏は語る。「2020年に発見されたリスクの高いオープンソースの脆弱性の大半は、2年以上前からコード上に存在していますが、ほとんどの組織では、サプライチェーン内のオープンソースソフトウェアを直接制御して、これらの弱点を簡単に修正することができません。しばしば資金が不足するこのソフトウェアを保護することは、それに依存しているあらゆる組織にとって急務です」。
Apache Software Foundation(アパッチ・ソフトウェア財団)は、Log4jのゼロデイ脆弱性を修正するための緊急セキュリティアップデートを米国時間12月10日に公開し、すぐにアップデートできない場合の緩和策も発表している。ゲーム開発会社のMojang Studios(モヤン・スタジオ)も、このバグに対応したMinecraftの緊急セキュリティアップデートを公開した。
画像クレジット:Busà Photography / Getty Images
[原文へ]
(文:Carly Page、翻訳:Hirokazu Kusakabe)
