システム・アプリ提供側の対応状況
Log4jは、企業内に構築したシステムだけでなく、製品として導入したシステムやアプリケーション、IoT製品などにも存在する。Log4jの脆弱性の発表後、これらのメーカーやベンダーも対策に追われた。多くのセキュリティベンダーの製品やソリューションも対象であったことから、この脆弱性の深刻さが分かる。
2022年1月現在、これらの製品やサービスに起因する重大なセキュリティインシデントが発生したというニュースは見かけないが、すでに脅威が侵入し内部に潜んでいる可能性や、今後大規模な攻撃が行われる可能性もある。しかし、Tenableによる遠隔測定では、Log4jの脆弱性に対して自社システムにスキャンを実行した企業は約7割にとどまっており、そもそも自社システムにLog4jが存在するかどうかさえ把握していない企業が多いと指摘している。
システムやアプリケーション、製品におけるLog4j脆弱性の存在と対応状況については、SIDfmやGitHubでまとめているので、これらのサイトを参照することも1つの方法だ。また、クラウド型WAFはLog4jの脆弱性に早期に対応している。ただし、難読化などによりWAFの検知を回避しようとする攻撃も確認されているため、安心は禁物だ。
今後も攻撃が継続する可能性、早めの対策を
Mandiantによると、Log4jの脆弱性情報の公開後、早々に暗号通貨マイニングに関与する金銭目的の攻撃グループが大規模な攻撃を展開しており、Tanigumiでは脆弱性を悪用してマルウェア・ランサムウェアを送り込む活動を観測している。Taniumによると、今後の攻撃として「外部より公開サーバの脆弱性を突き、情報流出や内部侵害につながるケース」「脆弱性を悪用するマルウェアにワーム機能が実装され内部感染を実現するケース」を挙げている。
米国の公正取引委員会(FTC)は、Log4jの脆弱性に対して顧客データを保護していない企業に法的措置を取ると警告している。Log4jの脆弱性は、影響の大きさや脆弱性悪用の容易性、対策の難しさから、今後も攻撃を受ける可能性がある。自社にLog4jが存在するかどうかを無償で調べるサービスも登場しているので、まずはその把握から実施すべきだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾
Log4j 2で問題となった脆弱性は、プログラミングやコンピュータの知識が少しあれば「なぜこんな危険な実装がされていたのか」と疑問に思う内容だ。歴史の歯車が別の方向に噛み合っていれば、こうはならなかったかもしれない。Javaを専門に取材してきた筆者が、この悲劇の背景をひも解いていく。
米国では「Log4j」脆弱性の放置に法的措置も 攻撃に引き続き警戒を呼び掛け
「Log4j」の脆弱性の問題は、年が明けても深刻な状況が続いている。米Microsoftは企業に対し、引き続き警戒するように注意を呼び掛けている他、米連邦取引委員会(FTC)は対策を怠った企業に対し、法的措置を講じる考えを示した。