Java向けのログ出力ライブラリー「Apache Log4j」で見つかったゼロデイ脆弱性「CVE-2021-44228」は、共通脆弱性評価システム(CVSS)で10.0という最大レベルのスコアが付与されており、インターネット上で現在最も大きな注目を集めるものとなっている。
ニュージーランドのコンピューター緊急事態対策チーム(CERT)が現地時間12月10日、リモートコード実行を可能にするこの脆弱性が既に悪用されていると発表して以来、米サイバーセキュリティ・インフラセキュリティ庁(CISA)や英国家サイバーセキュリティセンター(NCSC)を含む、複数の国家サイバーセキュリティ機関も注意を喚起する警告を発出している。インターネットインフラストラクチャープロバイダーのCloudflareは、Log4jの悪用が12月1日から確認されていると指摘している。
リスクにさらされているデバイスやアプリケーションは?
リスクを抱えているデバイスは基本的に、Log4jのバージョン2.0〜2.14.1が稼働しており、インターネットに接続しているものすべてだ。NCSCによると、影響のあるLog4jバージョン2(Log4j 2)ライブラリーは「Apache Struts2」「Apache Solr」「Apache Druid」「Apache Flink」「Apache Swift」などのフレームワークに含まれている。
インターネットに接続されているIoTデバイスを主なターゲットにしてボットネットを構築しようとする「Mirai」マルウェアもこの脆弱性を悪用するようになっているとみられる。CiscoとVMWareはそれぞれ、影響を受ける製品向けのパッチや緩和策を用意している。
AWSは、この脆弱性が同社のサービスにどう影響するかを説明し、Log4jを利用するサービスへの対応を進めている。また、「CloudFront」などのサービス向けの緩和策をリリースしている。
IBMも、同社のインフラや製品全般でLog4jの脆弱性に「アクティブに対応」していると述べている。同社は、「Websphere」の8.5と9.0などへの影響を確認している。
Oracleもパッチを発行している。「この脆弱性の深刻さ、そしてエクスプロイトコードがさまざまなサイトで公開されていることから、Oracleは顧客がこのセキュリティアラートが提供するアップデートをできる限り迅速に適用するよう推奨する」としている。
対策など
CISAは、Log4Jが稼働しており、インターネットに接続されているデバイスを洗い出し、「速やかに」Log4jのバージョン2.15.0以降にアップグレードするか、ベンダー各社が提供している緩和策を適用するよう勧告している。
CISAのディレクターJen Easterly氏は米国時間12月11日、「はっきり言って、この脆弱性は極めて深刻なリスクをもたらす」とし、「われわれは、政府と民間セクターの協調的な取り組みで可能性のある影響を最小限に抑えるのみだ。この重要な取り組みですべての組織がわれわれに加わり、対策を講じるよう求める」と述べた。