Log4jの脆弱性は「何度でも復活する」 完全につぶす方法はあるのか

2021年12月に見つかったLog4jの脆弱性を狙った攻撃が止まらない。。Tenableによれば企業が直接の対策を講じたとしても、3割近くで脆弱性が「再発」していた。なぜLog4jはこれほど危険なのか、どうすれば防ぐことが可能なのか。

[David Jones，Cybersecurity Dive]

　「Apache Log4j」（Log4j）との戦いが終わらない。2021年12月にゼロデイ脆弱（ぜいじゃく）性「Log4Shell」（CVE-2021-44228）が見つかった直後の騒動は一見収まったように見えるが、まだ危険が残っているという。なぜ長期戦にもつれ込んでいるのだろうか。

簡単に攻撃でき、油断できない。

　この脆弱性は危険だ。なぜなら、特に訓練を受けていない攻撃者がたった1行のコードだけで、隙のある被害者のアプリケーションを制御下に置いてしまうからだ。

　米政府当局と情報セキュリティコミュニティーはより安全な方法でアプリケーションを開発、維持、消費しようと苦闘しているものの、世界中のソフトウェアサプライチェーンは依然として大きな脅威にさらされている。

　これまでのところ、壊滅的なサイバー攻撃が起こるという当初の懸念は当たっていない。しかし、米政府当局は警告を続けている。なぜなら、サイバー攻撃は長期的な脅威であり、重大なセキュリティ危機を防ぐためには注意深く監視し、完全に修復する必要があるからだ。

　Apache Software Foundationのマーク・コックス氏（セキュリティ担当バイスプレジデント）は、Log4Shell脆弱性が最初に公開されてから1年の間に、次のようなステップを踏んできたという。

・オープンソースソフトウェアの役割について理解を深めるため、ホワイトハウスや議員、その他の関係者と生産的な会議を開催する
・社内のセキュリティ問題を専門に扱うエンジニアを雇用し、対応に一貫性とスピードを持たせる
・オープンソースコミュニティーとの継続的な対話を通じて、オープンソースセキュリティを共同で向上させる方法を検討する
・Log4jの危機に関するサイバーセーフティー検討委員会の設立報告書を支援する

　ロシアやイラン、中国、北朝鮮など、米国の主要な敵対国に関連する犯罪者や関係者が、Log4Shell脆弱性を利用して過去1年間に米国の政府機関や重要インフラサイト、その他の組織を標的にしている。もちろん標的が米国に限られているわけではない。例えば全攻撃の約1％は日本国内が対象だ。

　Log4jを利用するITシステムは数えきれない。世界中の数百万台のデバイスに搭載されており、攻撃のリスクを抑えるための必死の努力にもかかわらず、セキュリティ業界の専門家は今後数年間の努力が必要だと警告している。

　Forrester Researchのエリック・ノスト氏（シニアアナリスト）によれば危機の範囲ひろい。

　「Log4jロギングフレームワークは、（脆弱性が発見された時点で）ソフトウェア構成に深く組み込まれており、今も組み込まれている。世界中のほとんどの組織が影響を受けている」（ノスト氏）

誰でも狙われる可能性がある

　Log4Shell脆弱性を利用して標的の組織でリモートコードを実行することは容易だ。影響も大きい。情報セキュリティコミュニティーが重大な懸念を抱いたのは当然だ。

　Arctic Wolf Networksのレポートによれば、この脆弱性を利用しようとする攻撃者は、狭い範囲ではなく、広い範囲の組織をターゲットにしている。レポートによると、同社の顧客の25％がLog4Shell脆弱性の悪用によって標的となった。さらに同社がインシデント対応した事例の11％が、Log4Shell脆弱性の悪用を侵害の起点にしていたという。

　同社の一部門であるArctic Wolf Labsに所属するエイドリアン・コーン氏（脅威インテリジェンスリサーチ部門のマネジャー）によると、攻撃者はチャンスを狙って悪意のある活動をする傾向があるという。必ずしも予想通りの方法で動くとは限らないということだ。

　「攻撃者が潜在的な犠牲者を選択する方法に、ツールの影響が考えられる。例えば、攻撃者はインターネットの検索エンジンを使って潜在的な脆弱性のあるデバイスを特定する。だが、検索パラメーターがそれぞれ異なるため、攻撃者ごとに異なる結果（犠牲者のリスト）を得る可能性が高い」（コーン氏）

　同社のデータによれば、Log4Shell脆弱性による侵害の平均対応コストは9万ドル以上だった。Log4Shell脆弱性のインシデントレスポンス事例の約3分の2は3つのランサムウェアグループに起因するもので、「LockBit」が27％、「Conti」が19％、「ALPHV（別名BlackCat）」が12％だった。

つぶしてもつぶしても復活する

　ソフトウェアの脆弱性を見つけようと努力しているにもかかわらず、多くの組織がLog4Shell脆弱性によるリスクにさらされたままだ。Tenableの遠隔測定データによると、脆弱性が発見された2021年12月時点で、さまざまなサーバやWebアプリケーション、コンテナ、IoTデバイスなど、10％以上のIT資産がLog4Shell脆弱性を抱えていた。

　同社のデータによると、2022年10月時点には脆弱性が残っているIT資産は2.5％に減り、かなり改善された。しかし、29％のIT資産では、完全な修復を達成したにもかかわらず、Log4Shell脆弱性が再発していた。

　Tenableのボブ・フーバー氏（最高セキュリティ責任者）は次のように言う。「特にLog4jのような広範な欠陥の場合、修復が一度で完了することはほとんどない。組織が新しいシステムやIT資産を自社環境に追加する時は危険だ。完全に修復した後でも、不注意に脆弱性を再導入してしまう可能性がある」

　Log4jの危機が示したことは2つある。オープンソースソフトウェアとプロプライエタリなコードの間に深いつながりがあること、ソフトウェアの依存関係とインフラのスタックがいかに深いかということだ。このように語るのはオープンソースセキュリティ財団（Open Source Security Foundation）のブライアン・ベーレンドルフ氏（ゼネラルマネジャー）だ。

　ベーレンドルフ氏は、Sonatypeの「State of the Software Supply Chain」レポートのデータを引用し、一般的なIT製品のうち、70〜90％がオープンソースソフトウェアを含んでいると述べた。

　「Log4jは20年前から存在しており、ほぼ全てのJavaアプリケーションに組み込まれるようになった。Log4jのインシデントは、『iTunes Store』から物理セキュリティシステムに至るまで全ての危険につながった」とベーレンドルフ氏は続ける。

　CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）のエリック・ゴールドスタイン氏（サイバーセキュリティ担当エグゼクティブアシスタントディレクター）は、今回の危機のコストと複雑さから、ソフトウェアコミュニティーにおける透明性の向上と自動化の重要性が浮き彫りになったと述べる。

　「Log4jから1年が経過し、ソフトウェアのサプライチェーンをより意識する組織が増えた。これは、セキュリティを向上させるだけでなく、より良い品質とより大きなコスト削減につながる可能性がある。ソフトウェアの依存関係をよりよく理解するための新しいツールや製品がこの1年で多数出現し、Log4jはしばしば革新と採用の主要な動機として利用されている」（ゴールドスタイン氏）

出典：Fear, panic and Log4j: One year later（Cybersecurity Dive）