クラウドやSaaSも狙われる「Log4j」攻撃、3つの被害と対応

昨年12月13日にIPA(情報処理推進機構)は、脆弱性対策について発表した。脆弱性の深刻度を評価するCVSSのスコアで、最大値の10.0(緊急レベル)となっているので、その仕組みと注意点についてまとめる。

テクニカルな話題ではあるが、クラウドサービス全盛の昨今、自社が使っているサービスが攻撃にあうことで、自社のデータが漏洩するといった問題も起きる可能性がある。ぜひ最後まで読んでいただき、自社が使っているSaaSやクラウドサービス、ホームページ、自社運営サイトなどが該当していないかなど確認をしていただきたい。

「Apache Log4j」とは

Javaベースのシステムにおいて、ログの保存や出力に使われるプログラムのことだ。通常、システム障害などが起きた時のトラブルシューティングのためにも、履歴をとっている。

とてもポピュラーなものなので、世界中で使われていて、Javaのログ出力としては一般的なものでもある。

Log4jの脆弱性「Log4Shell」とは

今回発覚した、Log4jの脆弱性である「Log4Shell」は、Javaのアプリケーションが各種サービスに接続する際に使われるAPIを悪用したものだという。

外部からプログラムを取得するLog4jの機能において、外部から入力された値を検証不備の状態で処理してしまうということで、外部から送信されたコードをそのまま実行してしまう可能性があることが問題とされている。

IPAによると、この脆弱性を悪用した攻撃とみられるものが国内でも観測されている。

想定される攻撃・被害

Log4jの脆弱性により以下のような攻撃や被害が想定される。

ランサムウエア感染

ランサムウエアとは、身代金要求型ウイルスとも呼ばれ、感染すると情報システムのデータが暗号化されてしまい、持ち主がデータを見ることができなくなる。

それを解除する代わりに身代金を要求する手口だ。

また、データを抜き出しさらに公開すると脅されるといった二重の脅迫をしてくる被害が多数報告されている。

Log4jの脆弱性においても、ランサムウエアの感染被害がすでに報告されているということだ。

情報漏洩

第三者がウェブサイトを遠隔操作できるようになる。その結果、情報漏洩が起きたり、マルウエアなどのスパムメールが意図せず配信される可能性がある。

ウェブサイトの改ざん

第三者がウェブサイトを遠隔操作できるようになるので、サイト自体を改ざんすることも可能だ。

その結果、サイト訪問者がマルウエアの被害に遭ったり、フィッシングサイトに誘導されたりする可能性もある。

ウェブサイトが改ざんされることで、ブランドを既存するケースもある。

また、昨今SaaSを利用する企業も増えてきているが、SaaSのサービスが乗っ取られてしまうと、クライアント企業であるみなさんの企業データも盗まれたり、改ざんされたりする可能性がある。

対応

対応については、まずは正しいアップデートを行うことだが、米国土安全保障省は、まず以下の手順をとるべきという声明を出している。

  1. Log4jをインストールしている端末を列挙
  2. セキュリティオペレーションセンターが、上記のデバイスのすべてのアラートを処理していることを確認
  3. 自動的に更新されるルールを使用してWebアプリケーションファイアウォール(WAF)をインストールする

参考:https://www.cisa.gov/news/2021/12/11/statement-cisa-director-easterly-log4j-vulnerability

Log4jの最新化

Log4jを提供するApacheは最新版を既に発表している。また、IPAも最新情報をウェブサイトで更新している。

Apache Log4j Security Vulnerabilities

https://logging.apache.org/log4j/2.x/security.html

IPA Apache Log4j の脆弱性対策について(CVE-2021-44228)

https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

アクセスログを確認

アクセスログを確認し、不正なログインを特定。必要に応じてアカウントの削除や初期化、パスワードの変更などを行う。

また、疑わしい端末がある場合は、一旦その端末をネットワークから外すことも考えたい。

最新情報を追いかける

この手の問題は、どんどん最新情報が発表されるので、最新情報に目を向けて対応することが重要になる。

IT企業や企業情報システム部門だけの問題ではない

昨今、どんな企業もSaaSやクラウドサービスを使うようになり、自社でもホームページを運営し、ECサイトでビジネスをおこなっているという状況だ。

今回の脆弱性は、広くインターネットシステムに関係する問題で、実際、マイクロソフトやアマゾン、Googleといった巨大IT企業も例外ではない。

そういう意味では、よほどアナログな企業でない限り、利用中のサービスに何らかの影響がある可能性があることを忘れてはならない。

「専門業者に任せているから大丈夫」ということではなく、自社の利用しているサービスが本件に関係ないか、あるとしたら問題は解決されているか、といった点についても確認をしておかないと、気づいたら自社の大事なデータが漏洩していた、サービスが利用できなくなっていた、ということになってしまうかもしれないのだ。