脆弱性が発見されたLog4jとは?機能から脆弱性対策まで徹底解説

Endpoint Central, Patch Manager Plus | December 20, 2021 | 1 min read

Reading Time: 1 minutes

脆弱性が発見されたLog4jとは?機能から脆弱性対策まで徹底解説

年の瀬迫る12月10日に発見された「Apache Log4j」の脆弱性が今まさに世界中を震撼させています。
本日は、世界中を騒がせる「Apache Log4j」とはそもそも何なのか、また発見された脆弱性が一体どのようなものかを解説し、対策方法を検討します。

そもそも「Apache Log4j」とは

「Apache Log4j」は、Javaベースのロギングユーティリティです。

「ロギング」とは、アプリケーションの稼働状況や動作の結果などを逐一記録することです。ロギングの結果、出力されたものが「ログ」と呼ばれます。
ログを解析することで、アプリケーションの操作記録や通信内容、処理の形跡やエラーの原因などを確認することが可能です。

関連:
ManageEngineのログ解析ツールManageEngine Log360, ManageEngine Firewall Analyzer

「Apache Log4j」の脆弱性の概要

2021年12月10日、この「Apache Log4j」に致命的な脆弱性(CVE-2021-44228)が発見されました。
この脆弱性は、「Log4Shell」とも呼ばれます。

「Apache Log4j」には、ログに記載された文字列の一部を変数化するための機能であるLookup機能が用意されています。今回発見された脆弱性は、そのLookup機能のうち「JNDI Lookup」という機能を悪用したものです。

JNDI(Java Naming and Directory Interface)とは、JavaプログラムがネーミングサービスやディレクトリサービスとやりとりするためのAPIです。
JNDI Lookupでは、JNDIとディレクトリサービスを使用して、ディレクトリサーバーからデータやJavaオブジェクトを検索できます。

攻撃者は、悪意のあるコードを含む文字列をシステムのログに記載させることで、JNDI Lookupを使用してログに含まれる外部のURLなどにアクセスし、システム上で任意のJavaコードを読み込んで実行します。

Log4jを介した攻撃の仕組み

この脆弱性を含むLog4jは、「Apache Log4j 2.15.0」より前の2.x系のバージョンです。
すでにEOLを迎えているApache Log4j 1.x系(旧バージョン)では、Lookup機能が含まれていないためこの脆弱性の影響を受けませんが、1.x系のLog4jの設定ファイルが操作されて設定変更された場合には影響を受けると言われています。

「Log4Shell」による被害状況

脆弱性を含むLog4jはさまざまなアプリケーションに組み込まれて利用されていると言われています。 影響度が深刻であることから、CVSS(Common Vulnerability Scoring System)の深刻度は最大の10に指定されています。

Log4jを含むシステムは、Amazon、Oracle、Red Hat、Apple、Twitterなどの大手企業のサービスにも使用されているほか、SteamやMinecraftなどのゲーム業界にも影響を与えています。

Microsoft社はブログ記事で、コインマイナー(仮想通貨不正マイニング用プログラム)のインストールや、Cobalt Strikeによる認証情報盗難、侵害されたシステムからのデータ流出などが既に確認されたと報告しています。

また、日本国内も例外ではありません。
警察庁の関連施設でもLog4jの脆弱性を狙った攻撃が観測されており、各所で受けた攻撃数の平均を1時間毎にグラフとして更新しています
このグラフによると、脆弱性が発見された12月10日からすぐに攻撃がしていることがわかります。

「Log4Shell」への対策

Log4jの管理元であるApache Software Foundationは、この脆弱性に対応したLog4jの新バージョン「Apache Log4j 2.17.1」を公開(2022/1/05現在)しています。
そのほか、米セキュリティ企業Cybereasonでは、脆弱性を利用した攻撃防止プログラムをGitHub上で公開しています

今後は、Log4jを使用するアプリケーションやソフトウェアの開発元などからこのセキュリティパッチを含むアプリケーションの最新バージョンが相次いでリリースされることが予想されます。

Log4jは、ユーザーが使用するアプリケーションやシステム内でLog4jが使用されているかどうかの確認がしづらい点が問題点としてあげられています。

「Log4Shell」を含む脆弱性からサーバーを守るためには、今後公開されたアプリケーションのアップデートは迅速に、かつ漏れなく適用することが重要と言えます。

関連:
パッチ管理ソリューション解説eBookを無料ダウンロード
アプリケーションのアップデートやWindowsアップデートを漏れなく適用するためのパッチ管理ソリューション解説eBook

アプリケーションのアップデートをもれなく迅速に適用するツール

ManageEngineでは、アプリケーションのアップデート配布の自動化や欠落しているセキュリティパッチを把握して適用する機能を備えたパッチ管理ソフトウェアを提供しています。
サーバーを脆弱性から保護するためのソリューションをお探しの方は、是非ManageEngineのパッチ管理製品をご検討ください。

アップデート管理のスタートダッシュを決めるならPatch Manager Plus

パッチ管理ツール「Patch Manager Plus」

パッチ管理ツール「Patch Manager Plus」

【Patch Manager Plus 概要資料のダウンロードはこちら】
【Patch Manager Plus 評価版のダウンロードはこちら】

パッチ管理のほかソフトウェア配布・モバイルデバイス管理(MDM)も実施するならDesktop Central

統合エンドポイント管理ツール「Desktop Central」

統合エンドポイント管理ツール「Desktop Central」

【Desktop Central 概要資料のダウンロードはこちら】
【Desktop Central 評価版のダウンロードはこちら】


Tags : セキュリティ
Mizuki

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。