Java向けのログ出力ライブラリー「Apache Log4j」のバージョン2(Log4j2)に存在する脆弱性を悪用しようとする攻撃が増え続けている。
この脆弱性(CVE-2021-44228)によって、リモートでコードが実行され、サーバーへのアクセスが可能になる恐れがある。Log4jは一般的に導入されている企業システムなどで広く利用されていることから、大きな問題となっている。
使っているアプリケーションにLog4jが関わっていることを認識していない場合など、企業が脆弱な状態にあることを把握していないケースもあるかもしれない。攻撃者は、「Log4Shell」としても知られるこの脆弱性をできる限り早く悪用しようとしている。
この脆弱性が公式に開示されたわずか数時間後には、脆弱性を抱えたシステムをスキャンし、マルウェアを仕掛けようとする攻撃が増加していることが確認されていたという。
サイバーセキュリティ企業Check Pointは、その時点でこの脆弱性を悪用しようとする試みを毎分100件以上観測していたと報告しており、「当社は対策を実装し始めて以降、この脆弱性を探ろうとする127万2000件を超える試みを阻止した。そのうちの46%超は既知の悪意あるグループによってなされたものだった」と述べている。
Check Pointによると、攻撃者らはこの脆弱性を悪用し、現在までに世界のネットワークの40%超に対して攻撃を仕掛けているという。
攻撃の成功率はかなり低いと考えられるが、攻撃の数の多さを見た場合、駄目でもともとという感覚でこの新たな(そしてパッチの適用が難しい場合もあり得る)脆弱性を使用している攻撃者らがそれなりにいることが示されている。
Check Pointは、「攻撃対象が1つか、限られた数のソフトウェアだという場合とは異なり、Log4jは基本的に、Javaベースの製品やウェブサービスすべてに埋め込まれている。このため手作業で対応していくのは非常に難しい」と指摘している。
Log4jの脆弱性を悪用する攻撃は、暗号資産(仮想通貨)をマイニングするマルウェアや「Cobalt Strike」のインストールなどを目的とする場合があるようだ。Cobalt Strikeはペネトレーションテスト用の正規のツールだが、サイバー犯罪者がユーザー名やパスワードを盗み出し、ネットワークに侵入しようとする場合に悪用するケースがあることで知られている。
各国のサイバーセキュリティ当局もこの脆弱性の危険性について警告を発している。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)のJen Easterly長官は、Log4jの脆弱性について、「私のキャリアで見てきた中で、最も深刻とは言わないまでも、最も深刻なものの1つ」だと説明した。
英国家サイバーセキュリティセンター(NCSC)は、企業や組織に対し、Log4jが利用されていると分かっているものに最新のアップデートをインストールするよう推奨した。
NCSCの広報担当者は米ZDNetに対し、「重要な対策は、企業がエンタープライズソフトウェアに迅速にパッチを適用すること、Log4jを利用している開発者が、できるだけ早く自らのソフトウェアをアップデートし、配布することだ」と電子メールで伝えた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
