サイバーセキュリティの専門家は、「Log4j」のリモートコード実行の脆弱性である「CVE-2021-44228」に対応するには、数年とは言わないまでも、数カ月かかると考えている。Log4jが非常に広範に使用されており、容易に悪用できることがその理由だという。
McAfee EnterpriseとFireEyeの高度な脅威研究の責任者を務めるSteve Povolny氏は、「Log4Shell」について、「『Shellshock』や『Heartbleed』『EternalBlue』と同じ文脈で語られるべきものになった」と述べている。
Povolny氏は米ZDNetに対し、「攻撃者は、ほぼ即座にこのバグを悪用して、違法な暗号マイニングを実行したり、インターネット上の合法的なコンピューティングリソースを使用して金銭的利益のために暗号通貨を生成したりした。悪用の新しい事例では、個人情報の窃取を目的とするものが増えているようだ」と語った。
「攻撃は今後、確実に進化するだろう」
この脆弱性は「ワーム化が可能であり、自己増殖するように構築できる」ため、甚大な影響を及ぼす可能性がある、とPovolny氏は言い添えた。パッチが利用できるとはいえ、脆弱性を含むLog4jのバージョンは非常にたくさんある。
すでに膨大な数の攻撃が観察されているので、「多くの組織がすでに侵害されていると想定すべき」であり、インシデント対応措置を講じる必要がある、とPovolny氏は述べた。
「Log4Shellエクスプロイトは、多くのパッチがリリースされるにつれて、これからの数日~数週間で大幅に減少するはずだが、今後、数年とは言わないまでも数カ月はしぶとく生き残るだろう」(Povolny氏)
Sophosの上級脅威研究者であるSean Gallagher氏によると、米国時間12月9日以降、この脆弱性を利用した攻撃は、「Kinsing」マイナーボットネットを含むコインマイナーをインストールしようとする試みから、より高度な取り組みへと進化したという。
「最新のインテリジェンスは、攻撃者がこの脆弱性を悪用して、Amazon Web Serviceアカウントで使用されるキーを漏えいさせようとしている可能性を示唆している。また、攻撃者が脆弱性を悪用して、被害者のネットワークにリモートアクセスツール(おそらく、多くのランサムウェア攻撃で重要な役割を果たしている「Cobalt Strike」)をインストールしようとしている可能性を示す兆候もある」(Gallagher氏)
IPSやWAF、インテリジェントネットワークフィルタリングなどのテクノロジーはすべて、「この世界的な脆弱性を制御するのに役立っている」とSophosのプリンシパルリサーチサイエンティストのPaul Ducklin氏は付け加えた。
「最も効果的な対応策は極めて明確だ。今すぐ自分たちのシステムにパッチを当てるか、緩和策を実行してほしい」(Ducklin氏)
多くの場合、この脆弱性を悪用するのに認証や特別なアクセスは必要ないので、信じられないほど多くのシステムが危険にさらされている、とPraetorianの最高技術責任者(CTO)のRichard Ford博士は述べた。
「スマートフォンの名前を特定の文字列に変更するだけで、一部のオンラインシステムを悪用できる、という未確認の報告もある」(Ford博士)
Ford博士とPraetorianのエンジニアたちは、「(自分たちが)これまでにインターネット規模で見てきた中で最も多くのシステムに影響を与える脆弱性の1つである」と話す。
ハッカーはこの脆弱性を直ちに悪用した、と先週末に脆弱性を監視していたほかの専門家たちは述べている。HackerOneの最高情報セキュリティ責任者(CISO)のChris Evans氏によると、同社は249の顧客プログラムのLog4jに関して692件の報告を受けており、AppleやAmazon、Twitter、Cloudflareなどの大手企業はすべて自社が脆弱であることを認めているという。
「この脆弱性はいくつかの理由で恐ろしいものだ。第一に、悪用するのが非常に簡単である。攻撃者は、アプリケーションのさまざまな部分に特殊なテキストを貼り付けて、結果を待つだけでいい。第二に、何が影響を受けており、何が影響を受けていないのかを判別するのが難しい。この脆弱性は、ほかの多くのソフトウェアパッケージにバンドルされているコアライブラリー内に存在するため、修復作業もより複雑になる。第三に、サードパーティーベンダーの多くが影響を受ける可能性がある」(Evans氏)
ImpervaのCTOのKunal Anand氏によると、更新されたセキュリティルールを13時間以上前に公開して以来、同社はCVE-2021-44228を標的とする攻撃を140万件以上観察したという。
「1時間あたりの攻撃件数が約28万回に達するピークを複数回観察した。このクラスのほかのCVEと同じように、この数字は今後増えていくだろう。今後数日~数週間にわたって、新しい亜種が作成され、発見される可能性が高いからだ」(Anand氏)
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。