TOP >  IT・保守サポートの日誌(毎週更新) > 【12月第3週】世界的な影響も!「Apache Log4j」脆弱性問題

【12月第3週】世界的な影響も!「Apache Log4j」脆弱性問題

[`evernote` not found]
このエントリーをはてなブックマークに追加
LINEで送る

世界的な影響も!「Apache Log4j」脆弱性問題

 
最近世界的に問題となっているのが、Java向けのログパッケージとして広く利用されている「Apache Log4j」の脆弱性です。そしてこの脆弱性をついたサイバー攻撃が広く観測されており、その対策が急務となっています。
 

「Apache Log4j」脆弱性の影響

 
今回話題となっているJava向けのログパッケージであるApache Log4j上に存在する脆弱性は、2021年11月24日にApache上での存在が非公開で報告され、2021年12月9日にLog4jのバージョン2.15.0において、修正パッチが適用されました。この脆弱性は、細工したログメッセージを送信することで任意のコード実行が可能になります。すでにCVE-2021-44228として採番され、「Log4Shell」という名前が付けられています。
 
そしてこの脆弱性は、アプリケーションにlog4jライブラリを組み込んだ製品すべてに影響を与えることから、今後も被害が拡大していく可能性があります。一例では、Apple iCloud、Steam、Samsung Cloud storageなどの大手のインターネット企業の製品が含まれており、その他にも数千にのぼる製品やサービスが脆弱な状態である可能性があり、世界的な問題となっているのです。
 
日本国内においては、警察庁が12月14日、全国の警察施設のセンサーで観測した攻撃数のグラフを公開しています。警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測し、1センサー当たりの平均の推移をグラフに示したものです(1時間ごとに更新)。この警察庁のセンサーでも、日本時間10日から攻撃を観測し、警戒を呼び掛けています。
 

 
『Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について』
(出典:2021年12月14日 警察庁より)

 

攻撃の影響と対策

 
攻撃者が脆弱性の悪用に成功すると、lookup機能に含まれるURLの内容に応じて、サーバが文字列を解釈します。その結果、Javaクラス、JavaScript、Unixシェルなど、さまざまな形式の任意のシェルコマンドが実行される可能性があります。トレンドマイクロによると、現在攻撃者がボットネット「Mirai」の亜種やコインマイナー「Kinsing」を脆弱なサーバに投下する攻撃が確認されています。考えられる被害の影響範囲としては、以下の2点が挙げられます。
 
・リソースがハイジャックされる被害
・ネットワークサービス拒否(DoS)攻撃による被害

 
また、この脆弱性を利用して、機密情報を窃取する機能を備えたマルウェアKirabashなどがダウンロードされる可能性もあります。今回確認された攻撃は主にHTTPを介して実行されていますが、ユーザがLog4jを利用して記録した入力データにおけるプロトコルを介して脆弱性が悪用される可能性があることから、トレンドマイクロでは、「Log4j 2.15.0」へのアップグレードを強く推奨しています。また、米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関・CISAでも、連邦政府機関に対して、12月24日のクリスマスイブまでにパッチを適用するよう指示しています。
 
このように世界的な危機対策に及んでいる「Apache Log4j」脆弱性ですが、各種関連製品・サービス提供事業者は速やかな対応が望まれます。
 
『Apache Log4jの脆弱性「Log4Shell」を悪用する攻撃手口を解説』
(出典:2021年12月15日 トレンドマイクロより)

 
*********

弊社では、保守サービスやサポートに関する
facebookページを立ち上げています。
 
セキュリティの問題や脆弱性の情報を
毎日ピックアップして掲載しておりますので
よろしければお立ち寄りください。
 
ITサポート&サービス情報局【CTS】facebookページ
http://www.facebook.com/ITsupport.service
 
今週も「IT・保守サポートの日誌」をお読みいただき、
ありがとうございました。
 
シーティーエス株式会社 ブログ担当スタッフより

banner_siryou

資料請求

よくあるご質問

お客様の声

CTSストア

トピックス

  • 2019.8
    「CTSストア」(Yahoo!ショッピング)を開設しました
  • 2018.11
    「アローレ八王子ドローンフィールド」をオープンしました
  • 2018.2
    成長企業の新たな刻みを伝えていくメディア「Next Page」に、代表取締役 森田のインタビューが掲載されました
  • 2018.1
    空撮歴15年の有限会社KELEK様と、ドローンを使用した撮影、測量、点検業務において業務提携をいたしました。
  • 2017.9
    ドローン各種保守・業務支援サービスを開始しました
  • 2017.3
    日本の中小企業を元気にするためのサイト「オンリーストーリー」に、代表取締役 森田のインタビューが掲載されました
  • 2016.8
    環境省「FunToShare」に賛同・参加しました
  • 2016.5
    厚生労働省「イクメンプロジェクト」に賛同・参加しました
  • 2015.11
    『IT・保守サポート豆知識』ページを開設しました
  • 2014.09
    ホームページをリニューアルしました
  • 2014.09
    資本金を1000万円に増資
  • 2014.03
    『お客様の声』ページの掲載を始めました
  • 2013.06
    『IT・保守サポート用語集』ページをリニューアルしました
  • 2013.04
    『キッティング自動化ツール「SetROBO」』の販売代理店となりました
  • 2013.03
    『システム延命サービス』の販売代理店となりました
  • 2012.12
    採用情報の掲載を始めました
  • 2012.09
    おかげさまで創立3周年を迎えました
  • 2012.07
    東京都千代田区神田に営業所を移転
  • 2011.06
    facebookページ『ITサポート&サービス情報局』を開設
  • 2011.03
    次世代型顧客獲得ツール『Navigator』の販売代理店となりました
    アプライアンスサーバーの24時間365日オンサイト保守を受託
  • 2010.09
    東京都中央区築地に営業所を開設
  • 2010.05
    NASシステムの24時間365日オンサイト保守を受託
  • 2010.04
    ロジテック株式会社が運営する『データ復旧サービス』のサービスパートナーとなりました
  • 2010.03
    大手ハードウェアメーカーのPOSコールセンター業務を受託
  • 2010.02
    全国寿司チェーン店のタッチパネルPC設置業務を受託
  • 2010.01
    デジタルビジネス協同組合、システムサポート委員会の委員長に就任
  • 2009.12
    デジタルビジネス協同組合に加盟
    八王子商工会議所に加盟
  • 2009.09
    ホームページを開設
Copyright© 2009 シーティーエス株式会社, All Rights Reserved.