【IT事件簿】Log4j2 脆弱性問題

2021年末に界隈をかなり騒がせた(というか現在進行系で騒いでいるかもしれない)、Log4j2についての対応まとめをしたいと思います。

そもそもLog4j2問題って?

WEBサーバなどで多く採用されているApache(アパッチ)に標準で埋め込まれているログ処理のライブラリです。

JPCERT/CCでは、12月11日に注意喚起が公開されました。https://www.jpcert.or.jp/at/2021/at210050.html

興味ある方はリンク先を御覧いただきたいですが、結構長ったらしいので影響を要約すると、「対策していないと、リモートで任意のコードが実施される」です。

影響の深刻度を示すCVSSは最高の10.0 を叩き出すなどして、運用管理者などを中心に話題となりました。フィギュアスケートで例えると羽生結弦のトリプルアクセルです。立ち向かうは己のみ。

攻撃に使用される文字列は、以下の形式を取るので特徴的です。

 ${jndi:<protocol>://<url>}

対象バージョン

対象となっているバージョンは「Log4j 2.15.0」より前の2系で、1系(EoL)は対象外です。

余談ですが、Log4j 1系の作者である@ceki 氏は、twitterの名前を変更していました。

かなりパンチの効いた皮肉ですね。1系は2015年にEoLを迎えているため、更新していない企業などは逆に影響が無いところもまた皮肉と捉えられていました。

まあそもそも、Log4j1とLog4j2は、APIも作者も全くの別物なのですがここを一緒くたにした人が凸したりしているのを見たので、ちょっと可哀想でした。(なので、この記事はLog4j2と記載しています)

攻撃による影響

実際に2021/12/10 時点では、ほぼゼロデイのような扱いを受けていました。攻撃は観測されていなかったように思いますが、githubやtwitter上で拡散されてからは急速に攻撃と思われるリクエストが増えたようです。

ここで意外だったのが、色々なベンダーを差し置いて反応が早かったのは、Minecraft界隈でした。

Java版「Minecraft」にセキュリティ更新、極めて危険な「Log4j」脆弱性に対処
https://forest.watch.impress.co.jp/docs/news/1373517.html

マイクラのゲーム内にはチャットの機能があるのですが、そこで攻撃の文字列を入力すると別のゲームを起動できる、など話題になりました。(公開の場では真似しないでください)
https://twitter.com/gegy1000/status/1469714451716882434

また、AppleのiOS端末にて、デバイス名を特定の文字列にするとアクセスが発生することが分かり、Appleが何らかの方法でデバイス名を取得し、Log4j2を使用してログを吐いていることも話題になりました。

上記のように、素人でも試せてしまう脆弱性で、12/10週では数百件以上の攻撃を観測していたようです。

Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測
https://blogs.jpcert.or.jp/ja/2021/12/log4j-cve-2021-44228.html

総括

Log4j2問題は、各企業の対応力が問われたものと思います。CSIRTがあるチームでも、対応完了まで1ヶ月以上を要したりしているそうなので今後を見つめ直す機会になったのではないでしょうか。

ランサムウェアやemotetと違い、実際に大きな被害があったか、という情報は特に見ていませんが、もしかすると気付いていないだけでbitcoinなどの採掘に使われている可能性はあります。

また、(何故かは分かりませんが)IPAからの発表が土日を挟んでからというめちゃくちゃ遅い対応だったので、Twitterをしていないとリアルタイムで気付いていない日本人も多かった気がします。

これで業務中にTwitterをする口実を得ることができました★
・・・冗談はさておき、情報収集のやり方も考えなければなりませんね。

AWSやGCPなど、WAF製品にはアップデートでLog4j2対応用に、特定の文字列を弾くようなルールがリリースされていますので、とりあえず有効にしておくことをお勧めします。

参考:主な製品の対応状況

VMware
VMware Response to CVE-2021-44228 and CVE-2021-45046: Apache Log4j Remote Code Execution (87068)
https://kb.vmware.com/s/article/87068

AWS
Apache Log4j2 の問題 (CVE-2021-44228) の更新情報
https://aws.amazon.com/jp/security/security-bulletins/AWS-2021-006/

Microsoft
CVE-2021-44228 Apache Log4j 2 に対するマイクロソフトの対応
https://msrc-blog.microsoft.com/2021/12/12/microsofts-response-to-cve-2021-44228-apache-log4j2-jp/

Google Cloud Platform
Apache Log4j 2 Vulnerability
https://cloud.google.com/log4j2-security-advisory

記事をシェア頂けると嬉しいです!

コメントを残す

メールアドレスが公開されることはありません。