「Log4j」悪用する攻撃、収束には「数カ月」か--サイバーセキュリティ専門家

Jonathan Greig (ZDNET.com) 翻訳校正: 編集部

2021-12-15 09:58

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 サイバーセキュリティの専門家は、「Log4j」のリモートコード実行の脆弱性である「CVE-2021-44228」に対応するには、数年とは言わないまでも、数カ月かかると考えている。Log4jが非常に広範に使用されており、容易に悪用できることがその理由だという。

 McAfee EnterpriseとFireEyeの高度な脅威研究の責任者を務めるSteve Povolny氏は、「Log4Shell」について、「『Shellshock』や『Heartbleed』『EternalBlue』と同じ文脈で語られるべきものになった」と述べている。

 Povolny氏は米ZDNetに対し、「攻撃者は、ほぼ即座にこのバグを悪用して、違法な暗号マイニングを実行したり、インターネット上の合法的なコンピューティングリソースを使用して金銭的利益のために暗号通貨を生成したりした。悪用の新しい事例では、個人情報の窃取を目的とするものが増えているようだ」と語った。

 「攻撃は今後、確実に進化するだろう」

 この脆弱性は「ワーム化が可能であり、自己増殖するように構築できる」ため、甚大な影響を及ぼす可能性がある、とPovolny氏は言い添えた。パッチが利用できるとはいえ、脆弱性を含むLog4jのバージョンは非常にたくさんある

 すでに膨大な数の攻撃が観察されているので、「多くの組織がすでに侵害されていると想定すべき」であり、インシデント対応措置を講じる必要がある、とPovolny氏は述べた。

 「Log4Shellエクスプロイトは、多くのパッチがリリースされるにつれて、これからの数日~数週間で大幅に減少するはずだが、今後、数年とは言わないまでも数カ月はしぶとく生き残るだろう」(Povolny氏)

 Sophosの上級脅威研究者であるSean Gallagher氏によると、米国時間12月9日以降、この脆弱性を利用した攻撃は、「Kinsing」マイナーボットネットを含むコインマイナーをインストールしようとする試みから、より高度な取り組みへと進化したという。

 「最新のインテリジェンスは、攻撃者がこの脆弱性を悪用して、Amazon Web Serviceアカウントで使用されるキーを漏えいさせようとしている可能性を示唆している。また、攻撃者が脆弱性を悪用して、被害者のネットワークにリモートアクセスツール(おそらく、多くのランサムウェア攻撃で重要な役割を果たしている「Cobalt Strike」)をインストールしようとしている可能性を示す兆候もある」(Gallagher氏)

 IPSやWAF、インテリジェントネットワークフィルタリングなどのテクノロジーはすべて、「この世界的な脆弱性を制御するのに役立っている」とSophosのプリンシパルリサーチサイエンティストのPaul Ducklin氏は付け加えた。

 「最も効果的な対応策は極めて明確だ。今すぐ自分たちのシステムにパッチを当てるか、緩和策を実行してほしい」(Ducklin氏)

 多くの場合、この脆弱性を悪用するのに認証や特別なアクセスは必要ないので、信じられないほど多くのシステムが危険にさらされている、とPraetorianの最高技術責任者(CTO)のRichard Ford博士は述べた。

 「スマートフォンの名前を特定の文字列に変更するだけで、一部のオンラインシステムを悪用できる、という未確認の報告もある」(Ford博士)

 Ford博士とPraetorianのエンジニアたちは、「(自分たちが)これまでにインターネット規模で見てきた中で最も多くのシステムに影響を与える脆弱性の1つである」と話す。

 ハッカーはこの脆弱性を直ちに悪用した、と先週末に脆弱性を監視していたほかの専門家たちは述べている。HackerOneの最高情報セキュリティ責任者(CISO)のChris Evans氏によると、同社は249の顧客プログラムのLog4jに関して692件の報告を受けており、AppleやAmazon、Twitter、Cloudflareなどの大手企業はすべて自社が脆弱であることを認めているという。

 「この脆弱性はいくつかの理由で恐ろしいものだ。第一に、悪用するのが非常に簡単である。攻撃者は、アプリケーションのさまざまな部分に特殊なテキストを貼り付けて、結果を待つだけでいい。第二に、何が影響を受けており、何が影響を受けていないのかを判別するのが難しい。この脆弱性は、ほかの多くのソフトウェアパッケージにバンドルされているコアライブラリー内に存在するため、修復作業もより複雑になる。第三に、サードパーティーベンダーの多くが影響を受ける可能性がある」(Evans氏)

 ImpervaのCTOのKunal Anand氏によると、更新されたセキュリティルールを13時間以上前に公開して以来、同社はCVE-2021-44228を標的とする攻撃を140万件以上観察したという。

 「1時間あたりの攻撃件数が約28万回に達するピークを複数回観察した。このクラスのほかのCVEと同じように、この数字は今後増えていくだろう。今後数日~数週間にわたって、新しい亜種が作成され、発見される可能性が高いからだ」(Anand氏)

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み
関連キーワード
サイバー攻撃
脆弱性(ぜいじゃくせい)

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]