「Log4j」の脆弱性についてセキュリティリーダーが知っておくべきこと、すべきこと:Gartner Insights Pickup(240)
「Log4j」の脆弱(ぜいじゃく)性がもたらすリスクを理解し、関連する潜在的な脅威から企業システムを保護するための対策を把握する。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
Apache Software Foundationは2021年12月9日、Javaベースのロギングユーティリティー「Apache Log4j」のリモートコード実行の脆弱(ぜいじゃく)性(CVE-2021-44228)に関するセキュリティ情報を公開した。MITREは、この脆弱性のCVSS(共通脆弱性評価システム)スコアを最高値の「10.0」、Severity(深刻度)は「Critical」(緊急)と評価した。
その後間もなく、この脆弱性を悪用した攻撃が検知され、米国のCISA(国土安全保障省サイバーセキュリティ&インフラストラクチャセキュリティ庁)やオーストリアのCERTなど、世界の政府系サイバーセキュリティ機関が、直ちにシステムにパッチを適用するよう企業や組織に警告を発した。
さらにLog4jでは、「CVE-2021-44228」に関連する2つの脆弱性(CVE-2021-45046、CVE-2021-45105)が見つかり、Apache Software Foundationは、これらをそれぞれ「Log4j 2.16.0」「Log4j 2.17.0」で修正した(翻訳時点では、12月17日にリリースされた後者が最新版)。
Log4jの脆弱性が企業にもたらすリスクと、セキュリティリーダーが企業システムを関連する潜在的脅威から保護するために取るべき対策について、Gartnerのアナリストでシニアディレクターのジョナサン・ケア(Jonathan Care)氏に話を聞いた。
どんなシステムがLog4jの脆弱性の影響を受けるのか?
Log4jの脆弱性の影響は、エンタープライズアプリケーション、組み込みシステム、それらのサブコンポーネントと極めて広範囲にわたる。影響を受けるプログラムの例としては「Cisco Webex」「Minecraft」*など、Javaベースのアプリケーションが挙げられるが、これらは全体のごく一部にすぎない。
*本稿の原文は2021年12月14日(米国時間)に公開されたものです。Minecraftでは、現在Java版は主流ではありませんが、 ここでは著名なソフトウェアで脆弱性が認められる例として記述しています(2022年1月18日にfixが発表)。同様に例として挙げていたFileZillaにつきましては、Javaを使用していないことが確認できましたので削除しました。ご指摘くださった読者の方に感謝いたします。
この脆弱性は、NASA(アメリカ航空宇宙局)の火星探査ミッション「Mars 2020」に含まれる小型火星ヘリコプター「Ingenuity」にも影響する。IngenuityはイベントロギングにLog4jを使用しているからだ。
セキュリティコミュニティーは、Log4jの脆弱性の影響を受けるシステムをカタログ化したリソースを作成している。だが、これらのリストは常に更新されているため、特定のアプリケーションやシステムがリストに含まれていなくても、この脆弱性の影響を受けないという保証にはならない点に留意することが重要だ。
この脆弱性にさらされる可能性は非常に高く、特定の技術スタックがJavaを使用していない場合でも、セキュリティリーダーは、主要なサプライヤーシステム(SaaSベンダーやクラウドホスティングプロバイダー、Webサーバプロバイダーなど)がJavaを使用していることを想定しておく必要がある。
脆弱性が悪用された場合、企業のアプリケーションやシステムはどんな脅威に直面するのか?
パッチが適用されていないと、攻撃者はLog4jの脆弱性を突いて、コンピュータサーバやアプリケーション、デバイスを乗っ取り、企業ネットワークに侵入する可能性がある。すでに、この脆弱性を悪用して自動的に実行されるマルウェア攻撃やランサムウェア攻撃などの脅威が報告されている。
この脆弱性を悪用した攻撃の障壁は極めて低く、チャットウィンドウに簡単な文字列を入力するだけで攻撃を仕掛けられる。また、この脆弱性は“認証不要”だ。つまり攻撃者は、脆弱なシステムにサインインして認証をしなくても悪用することが可能だ。つまり、Webサーバは脆弱であると想定しておく必要がある。
サイバーセキュリティリーダーは企業を守るために、どんな対策を取るべきか?
サイバーセキュリティリーダーはLog4jの脆弱性の影響を受ける対象を特定し、更新することを絶対的な最優先事項とする必要がある。まず、担当領域のドメイン内にあり、インターネットに接続されている、あるいは公開されていると考えられる全てのアプリケーション、Webサイト、システムを詳細に監査する。その中には、自社でインストールし、ホストしているベンダー製品や、クラウドベースのサービスも含まれる。特に、顧客情報やアクセス認証など、業務上の機密データを含むシステムに注意する必要がある。
監査が完了したら、リモートワークをしている従業員に目を向け、セキュリティチェーンの重要なリンクを形成する個人所有のデバイスとルーターを更新させる。そのためには、積極的な関与が必要になりそうだ。脆弱なルーターは、企業の重要なアプリケーションやデータリポジトリへの侵入口となる可能性があることから、単に指示書を発行するだけでは不十分だからだ。こうした関与を行うには、ITチームの幅広いサポートと協力が必要になる。
全社的に見ると、自社のインシデント対応計画に沿って、正式かつ厳格な対策を講じるべきときだ。Log4jの脆弱性によるインシデントは、CEO(最高経営責任者)やCIO(最高情報責任者)、取締役会など、組織のあらゆるレベルが関与する必要がある。経営幹部にブリーフィングをし、公の場で質問に答える準備をしてもらう必要もある。
しばらくの間、この脆弱性とそれを悪用した攻撃パターンは収まりそうにない。少なくとも今後12カ月は、積極的な警戒が重要だ。
出典:What Security Leaders Need to Know - and Do - About the Log4j Vulnerability(Gartner)
筆者 Meghan Rimol
Senior Public Relations Specialist
Copyright © ITmedia, Inc. All Rights Reserved.