「Log4j」悪用する攻撃、収束には「数カ月」か--サイバーセキュリティ専門家

Jonathan Greig (ZDNet.com) 翻訳校正: 編集部

2021-12-15 09:58

 サイバーセキュリティの専門家は、「Log4j」のリモートコード実行の脆弱性である「CVE-2021-44228」に対応するには、数年とは言わないまでも、数カ月かかると考えている。Log4jが非常に広範に使用されており、容易に悪用できることがその理由だという。

 McAfee EnterpriseとFireEyeの高度な脅威研究の責任者を務めるSteve Povolny氏は、「Log4Shell」について、「『Shellshock』や『Heartbleed』『EternalBlue』と同じ文脈で語られるべきものになった」と述べている。

 Povolny氏は米ZDNetに対し、「攻撃者は、ほぼ即座にこのバグを悪用して、違法な暗号マイニングを実行したり、インターネット上の合法的なコンピューティングリソースを使用して金銭的利益のために暗号通貨を生成したりした。悪用の新しい事例では、個人情報の窃取を目的とするものが増えているようだ」と語った。

 「攻撃は今後、確実に進化するだろう」

 この脆弱性は「ワーム化が可能であり、自己増殖するように構築できる」ため、甚大な影響を及ぼす可能性がある、とPovolny氏は言い添えた。パッチが利用できるとはいえ、脆弱性を含むLog4jのバージョンは非常にたくさんある

 すでに膨大な数の攻撃が観察されているので、「多くの組織がすでに侵害されていると想定すべき」であり、インシデント対応措置を講じる必要がある、とPovolny氏は述べた。

 「Log4Shellエクスプロイトは、多くのパッチがリリースされるにつれて、これからの数日~数週間で大幅に減少するはずだが、今後、数年とは言わないまでも数カ月はしぶとく生き残るだろう」(Povolny氏)

 Sophosの上級脅威研究者であるSean Gallagher氏によると、米国時間12月9日以降、この脆弱性を利用した攻撃は、「Kinsing」マイナーボットネットを含むコインマイナーをインストールしようとする試みから、より高度な取り組みへと進化したという。

 「最新のインテリジェンスは、攻撃者がこの脆弱性を悪用して、Amazon Web Serviceアカウントで使用されるキーを漏えいさせようとしている可能性を示唆している。また、攻撃者が脆弱性を悪用して、被害者のネットワークにリモートアクセスツール(おそらく、多くのランサムウェア攻撃で重要な役割を果たしている「Cobalt Strike」)をインストールしようとしている可能性を示す兆候もある」(Gallagher氏)

 IPSやWAF、インテリジェントネットワークフィルタリングなどのテクノロジーはすべて、「この世界的な脆弱性を制御するのに役立っている」とSophosのプリンシパルリサーチサイエンティストのPaul Ducklin氏は付け加えた。

 「最も効果的な対応策は極めて明確だ。今すぐ自分たちのシステムにパッチを当てるか、緩和策を実行してほしい」(Ducklin氏)

 多くの場合、この脆弱性を悪用するのに認証や特別なアクセスは必要ないので、信じられないほど多くのシステムが危険にさらされている、とPraetorianの最高技術責任者(CTO)のRichard Ford博士は述べた。

 「スマートフォンの名前を特定の文字列に変更するだけで、一部のオンラインシステムを悪用できる、という未確認の報告もある」(Ford博士)

 Ford博士とPraetorianのエンジニアたちは、「(自分たちが)これまでにインターネット規模で見てきた中で最も多くのシステムに影響を与える脆弱性の1つである」と話す。

 ハッカーはこの脆弱性を直ちに悪用した、と先週末に脆弱性を監視していたほかの専門家たちは述べている。HackerOneの最高情報セキュリティ責任者(CISO)のChris Evans氏によると、同社は249の顧客プログラムのLog4jに関して692件の報告を受けており、AppleやAmazon、Twitter、Cloudflareなどの大手企業はすべて自社が脆弱であることを認めているという。

 「この脆弱性はいくつかの理由で恐ろしいものだ。第一に、悪用するのが非常に簡単である。攻撃者は、アプリケーションのさまざまな部分に特殊なテキストを貼り付けて、結果を待つだけでいい。第二に、何が影響を受けており、何が影響を受けていないのかを判別するのが難しい。この脆弱性は、ほかの多くのソフトウェアパッケージにバンドルされているコアライブラリー内に存在するため、修復作業もより複雑になる。第三に、サードパーティーベンダーの多くが影響を受ける可能性がある」(Evans氏)

 ImpervaのCTOのKunal Anand氏によると、更新されたセキュリティルールを13時間以上前に公開して以来、同社はCVE-2021-44228を標的とする攻撃を140万件以上観察したという。

 「1時間あたりの攻撃件数が約28万回に達するピークを複数回観察した。このクラスのほかのCVEと同じように、この数字は今後増えていくだろう。今後数日~数週間にわたって、新しい亜種が作成され、発見される可能性が高いからだ」(Anand氏)

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]