Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性について、JPCERT/CCは17日、脆弱性を突いた攻撃が高度化していると報告した。「WAF(Web Application Firewall)などによる回避には限界があることを認識する必要がある」と注意喚起している。
Log4jの機能「JNDI Lookup」が悪用されると、任意のプログラムを外部から送り込まれ、実行される可能性がある。単純な攻撃はWAFで防御できる場合もあるが、JPCERT/CCの調査で、WAFの防御をくぐり抜けようとする攻撃が見つかった。
JPCERT/CCは、意図的に脆弱性を残したまま放置したサーバ(ハニーポット)でLog4jの脆弱性を突いた攻撃を観察。10日から16日の間にハニーポットが受けた攻撃は延べ393件。「LDAP」「IIOP」などさまざまな通信規格での攻撃を試した形跡が見られた他、WAFをくぐり抜ける攻撃も検知した。他の調査では、AWSの認証情報を盗もうとする攻撃も存在することが分かった。
JPCERT/CCによると、Log4jは採用事例が非常に多く、直接使った覚えがなくても、他のライブラリやクラウドサービスなどで使われている場合がある。「Log4jの更新や機能の停止など回避策をできる限り実施すること」「すでに不正なアクセスが行われているという前提で通信やデータの確認をしていただきたい」など、対策を強く推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR