Log4jの脆弱性について知っておくべきこと

Acronis
Cyber Protect

12月9日にApache Log4jの脆弱性が確認されて以来、ITプロフェッショナルにとって大きな懸念となっており、年末の仕事納めをしていたはずが急遽、エクスプロイト攻撃に対する警戒体制への移行を余儀なくされています。

このような懸念を少しでも和らげるため、そしてこの脆弱性に効率良く対処するために知っておくべきことをコミュニティに確実に伝えるために、アクロニスのサイバーセキュリティおよびサイバープロテクションのエキスパートは12月17日、情報提供のための短いウェビナーを開催しました。CISOのケビン・リード(Kevin Reed)、シニアマルウェアリサーチャーのトファー・ティーボウ(Topher Tebow)、サイバープロテクション担当ディレクターのジェームズ・スレイビー(James Slaby)、そしてソリューションエンジニアリング部門マネージャーのコリン・アポダック(Collin Apodac)によるこのイベントでは、Log4j脆弱性とは何か、それがどのような脅威となるのか、そして企業が自身と顧客を守るために取るべきステップについて紹介され、数百人が参加しました。

ウェビナーに参加いただけなかった方は、以下から録画データをご覧いただけます。

Apache Log4jとは?

Log4jの脆弱性とその仕組み

このLog4jの脆弱性は、Log4ShellまたはCVE-2021-44228とも呼ばれています。悪意のある攻撃者が、特定の文字列のロギングによって不正なリモートコード実行を開始できるようにする深刻な脆弱性です。過去にはKaseyaSolarWindsに影響を受けたような技術サプライチェーンの脆弱性に典型的なものです。

この脆弱性は、Javaという言語が完全なオブジェクト指向であることを悪用し、自動的に実行される実行ファイルを拡散することができるというものです。攻撃者はこの脆弱性を利用して、データ窃取だけでなく、ランサムウェア攻撃での偵察行為およびデプロイやクリプトマイニング操作を開始したり、インフラストラクチャをボットネットへ追加したりすることが可能です。この数日間に観察された脆弱性を利用した攻撃は、最も多いときで1時間あたり数万に上ります。

事態をさらに難しくしているのは、実際の攻撃が必ずしも、エクスプロイトのトリガーの直後には起こらないという点です。数分から数時間遅れることもあり、その結果、公開されているスキャナーによるスキャンは回避されてしまいます。

Log4jの脆弱性へのアクロニスの対応

脆弱性について知った直後、アクロニスのチームはlog4jライブラリが使用されている可能性のある製品をすべてチェックしました。この脆弱性によってアクロニスとパートナー、そして顧客に影響を与える可能性のある個所を迅速に特定し、影響を受ける可能性がある人々に知らせ、保護を確実にするために適切な措置を講じました。

喜ばしいことに、アクロニスのオンプレミス製品にはいずれもこの脅威に対する脆弱性はなく、Acronis Cyber Protect Cloudも、脆弱性が悪用された何らかの兆候が現れる前に影響をすべて軽減することができました。

お客様のビジネスをLog4j脆弱性のエクスプロイトから保護するには

この脆弱性は、Apache Log4jのバージョン2.0-beta9から2.14.1.まで、ほぼすべてのバージョンに影響します。システムを守る最も簡単かつ効果的な方法は、今すぐLog4jの最新アップデート(バージョン2.17.0)をインストールすることです。このアップデートは、現在、Apache Logging Servicesでダウンロードでき、悪用される可能性のある問題の挙動がデフォルトで無効にされています。

何らかの理由で、関連するすべてのシステムを今すぐにはアップデートできない場合、短期的な対応策がいくつかあります。

  • バージョン2.10–2.14.1のLog4jを実行している管理者は、log4j2.formatMsgNoLookupsシステムプロパティまたはLOG4J_FORMAT_MSG_NO_LOOKUPS環境変数をTRUEに設定し、のメッセージ検索置換を無効化することができます。
  • バージョン2.0-beta9–2.10.0のLog4jを実行している管理者は、JndiLookupクラスをクラスパスから削除します。
  • すべてのアウトバウンド接続と、影響を受ける可能性があるサーバーからのDNSクエリーを、ブロックまたは監視します。

この脆弱性について詳細を知りたい方は、アクロニスのセキュリティアドバイザリか、オンラインセミナーでのプレゼンテーションをこちらからダウンロードしてご覧ください(いずれも英語のみ)。また、セキュリティアドバイザリの抄訳(日本時間:2021年12月16日0:20時点の情報を基に作成)についてはこちらをご覧ください。

アクロニスのその他の情報