2022 年 01 月 17 日
Apache Log4j の事例から学ぶ脆弱性対策
~オープンソースソフトウェア(OSS)の利用で求められる脆弱性への対処とは?~
脆弱性深刻度評価が最高レベルの Apache Log4j
2021 年 12 月 10 日に判明した「Apache Log4j(Log4j)」の脆弱性の深刻度は、CVSS(Common Vulnerability Scoring System) の深刻度評価は最高レベルの 10 と評価されています。CVSS とは、共通脆弱性評価システムと呼ばれ、基本評価基準、現状評価基準、環境評価基準の3つの基準で、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指して開発された仕様です。CVSS の詳しい情報については、 情報処理推進機構(IPA)セキュリティセンター が解説しています。
Apache Log4j とは?
Log4j は、Java ベースのエラー情報などのログを外部に出力するためのプログラムで、Java のプログラムの中でも広く使用されているものの一つで、さまざまなクラウドサービスやソフトウェアに利用されており、自社システムや顧客に納品したシステムにも多用されている OSS です。
この脆弱性は、Log4j ライブラリの JNDI Lookup にあり、悪用されると Log4j を含むアプリケーションなどをリモートから不正に操作することが可能になります。
対処方法は?
最新の修正バージョンに更新することや Lookup 機能をオフなどにすることです。しかし、すでに公開された修正バージョン「Log4j 2.15.0」ではサービス拒否攻撃(DoS)を許す問題(CVE-2021-45046)が残っており、2.16.0 までの 2 系バージョンには DoS 攻撃が可能な脆弱性(CVE-2021-45105、CVSS スコア 7.5)があり、その後公開された 2.17.0 にはリモートコード実行の脆弱性があり、現時点では最新版の 2.17.1 へのアップデートが必要です。(※2022 年 1 月 14 日時点の情報であり、状況が更新される可能性があります)
Log4j は最初の注意喚起以降、情報の追加・更新がされていますので、常に最新の情報を確認することが重要で、Software ISAC が、Log4j に関する注意喚起情報をまとめています。
恒久的な対策は?
残念ながらすべてのソフトウェアに脆弱性が発生しないと保障することはできません。OSS の利用が拡大するなか、自社が利用するサービスやシステムにどのようなソフトウェアやミドルウェア、ライブラリなどが使用されているか管理することが重要です。表計算ソフトなどで台帳管理するようなケースもありますが、独自で常に脆弱性情報を収集し、修正バージョンを適用するなどの対応が必要になります。しかし、Sonatype 社が調査した「2021 State of the Software Supply Chain Report」によれば、OSS のサプライチェーン攻撃が 650% 増加したと報告しており、年々巧妙化・多様化するサイバー攻撃を人的リソースのみで防ぎきることは不可能です。
このようなサイバー攻撃への対応には、「脆弱性の見える化」と「防御から対応や復旧に至るまでの一貫した対策を実行すること」です。
対策を立てるにあたって、指針となるのが、世界各国の企業がセキュリティ対策を講じる際に参照する、NIST(National Institute of Standards and Technology, 米国立標準技術研究所)が定義するサイバーセキュリティフレームワーク (NIST CSF) で、この NIST CSF については、サイバートラスト BLOG「 統合システム監視 」で解説しています。
脆弱性への対策にあたっては、脆弱性の見える化を実現する脆弱性管理ソリューション MIRACLE Vul Hammer と統合監視ツール MIRACLE ZBX を連携して、サプライチェーン攻撃に対応することができます。OSS の利用拡大によって、脆弱性を悪用したサイバー攻撃が増加している今だからこそ、検討していただきたいソリューションです。
本記事に関連するリンク
