最悪レベルの脆弱性「Log4Shell」と共存していく方法： BlackBerryの見解

リサーチとインテリジェンス / 12.28.22 / The BlackBerry Research and Intelligence Team

本ブログ記事は、2021年12月23日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。

ここ数週間、Log4jの脆弱性である「Log4Shell」がメディアで話題になっています。セキュリティやIT関連の仕事をしていない人でも、この脆弱性に関するニュースを目にしたことがあるかもしれませんし、ソーシャルメディアに投稿された、Log4Shellを、ホリデーシーズンに向けて（文字通り）プラグを抜く準備をしている無防備なITヘルプデスクワーカーに忍び寄る卑劣なキャラクターとして描いた多くのミームを見たことがあるかもしれません。

しかし、この脆弱性とは一体何なのか、そして誰が影響を受けるのか。

Log4Shellの解説

Log4jは、世界中のApache Webサーバーに組み込まれている、Javaベースのロギングフレームワークです。Log4jは、Apache ソフトウェア財団が配布している他のソフトウェアと同様に、オープンソースです。同財団によると、長年ミラーシステムで配布されていましたが、最近はコンテンツデリバリーネットワーク（CDN）に切り替え、ユーザーや開発者に直接配信しています。また、組織にも直接配信され、組織はプロジェクト、製品、サービスの一部として消費者や企業に出荷します。

簡単に言えば、Log4jは世界中で使われているソフトウェアであり、テーブルや椅子などの日常的な製品を支えるネジのように、どこでも使えるものです。そして出来上がった製品は販売され、寮の部屋から役員室まで、どこにでも届けられます。そこに問題があるのです。

誰がLog4jの脆弱性を発見したのか？

米国の感謝祭休暇中の11月24日午後、アリババのセキュリティエンジニアであるChen Zhaojunは、Log4j 2.x（特にバージョン2.14.1以前）に、悪用されやすいリモートコード実行ホールがあることを発見し、Apache ソフトウェア財団に公開しました。

アリババグループホールディングリミテッド（Alibaba Group Holding Ltd.）の中国クラウドセキュリティチームのメンバーであるZhaojunは、「セキュリティバグを報告したい」と記述し、「この脆弱性は大きな影響を与える」と付け加えました。結果的に、それは誇張ではありませんでした。

アメリカ国立標準技術研究所（NIST: National Institute of Standards and Technology）が管理する脆弱性データベース（National Vulnerability Database）は、12月10日にこの脆弱性（CVE-2021-44228）を報告し、その勧告の中で次のように述べています。「Apache Log4j2 2.0-beta9から2.12.1、および2.13.0から2.15.0の設定、ログメッセージ、およびパラメータに使用されるJava Naming Directory Interface（JNDI）機能は、攻撃者に制御されたLDAPおよびその他のJNDI関連のエンドポイントから保護されません。ログメッセージやログメッセージのパラメーターを制御できる攻撃者は、メッセージのルックアップ置換が有効な場合、LDAPサーバーからロードされた任意のコードを実行することができます。」

Log4jの脆弱性の影響を受ける人は、どれくらい存在するのか？

Apacheソフトウェア財団は12月14日に公開したブログの中で、今回の脆弱性の影響がどの程度のものであるかを推測することすらできないと述べています。「私たちは、Log4jが多くのASFプロジェクト、その他のオープンソースプロジェクト、そして多くの製品やサービスに含まれていることを知っています。しかし、それ以上の数字は単なる推測であり、大幅に間違っている可能性が高いでしょう。」

多くのITチームやセキュリティオペレーションセンター（SOC）の担当者がすでに休暇に入っている今、IT業界が直面している問題は、Log4jライブラリが非常に多くのApacheフレームワークサービスで使用されていることです。この問題をグローバルに解決することは、あるブランドの車を所有しているすべての人に、ボンネットのどこかに潜在的な欠陥のあるエンジン部品が潜んでいないかどうかを個人的にチェックして、自分で交換するように求めるようなものです。この例え話を続けるならば、Apacheのユーザーには、自分のサーバーを部品回収のためにディーラーに持っていくという選択肢はありません。

手短に言えば、Log4jのような脆弱なアプリケーションコンポーネントは、複雑なセキュリティリスクを生み出し、1回のアップデートで普遍的に修正できるものではありません。多くの企業は、Log4jの脆弱性を悪用されないように、自社で独自のパッチを発行しようと未だ奔走しています。

CVE-2021-44228はどのように悪用されるのか？

馴染みのない人には、攻撃者が特別に細工したテキストを脆弱なアプリケーションに送信するだけで、Log4jの欠陥が悪用されてしまいます。特定の文字列を送信すると、Log4jライブラリがリモートサーバからJAVAコードを取得するように指示され、標的となるシステムへの（バック）ドアが攻撃者に大きく開かれます。

これが、この脆弱性が非常に重要である理由です。この脆弱性を比較的容易に利用できるということは、初心者であっても、モノのインターネット（IoT）機器から企業の重要なシステムに至るまで、システムを遠隔操作することができ、自宅の防犯カメラを通して隣人を監視するといった単純（かつ不気味）な行為から、大規模なインフラ破壊行為によって国家的または国際的な大混乱を引き起こす行為までを行うことができることを意味するのです。このような攻撃者は、ソフトウェアエンジニアリングの知識がなくても、コードを1行書く（またはコピーする）だけで、好きなデバイスにアクセスすることができます。

ほとんどの組織が直面しているもう一つの大きな問題は、どのアプリケーションがLog4jを使用しているか、そして、そのライブラリが製品にどれだけ深く埋め込まれているかを知ることです。Log4jライブラリを使用しているシンプルなスタンドアロンのアプリケーションは、修正するのが簡単かもしれません。しかし、脆弱なライブラリが依存関係の6階層目にある砂上の楼閣のように、他のものの上に構築されたアプリケーションを修正する複雑さを考えてみてください。

深く埋め込まれたセキュリティ上の欠陥を修正することは、十分な設備を備え、問題を認識している組織にとっても、途方もない作業になります。残念ながら、Log4jは非常に人気のあるライブラリであるため、多くの企業が攻撃を受けやすいことに気づかずに影響を受ける製品を使用している可能性があります。

Log4Shellの攻撃はどのようなものか？

現在、攻撃者たちは組織が影響を受けていることに気づく前に、できるだけ早くこの脆弱性を利用しようと、24時間体制で活動しています。このような活動は、アプリケーションを破壊してリモートコード実行（RCE）を行うチャンスを掴もうとするゴールドラッシュ的な考え方を示唆しています。多くの場合、最初の足場を得て、そこから知的財産（IP）の窃盗やクリプトマイニング、ランサムウェアの展開、DDoS攻撃、またはこれらすべての活動を行うことを目的としています。

攻撃者の視点で成功を収めるには、ターゲット環境にマルウェアをロードし、実行することが必要です。基本的なマルウェアであっても、銀行の認証情報を盗んだり、システムをロックして暗号化解除のための身代金を要求したり、あるいは医療や金融、政府機関のシステムなどの機密性の高い情報の宝庫を奪ったりと、被害者のデバイス上でさまざまな悪意のある活動を行うことができます。

セキュリティ研究者によると、この脆弱性が初めて公に報告された数時間後に、脅威アクターが大量のスキャン活動を開始したとのことです。当初、最初の攻撃は探索的なもので、ほとんどがクリプトマイニングに集中していました。12月9日の時点で、Log4jの脆弱性を積極的かつ広範囲に悪用する行為が、多くの外部ソースによって確認されています。

その後、マイクロソフト社は、中国やイラン、北朝鮮、トルコの脅威アクターによる国家的活動を確認しました。さらに、SecurityScorecard社の研究者は、APT28に関連するツールキットであるDovorubマルウェアの存在を示す証拠とともに、ロシアからの国家的活動を確認したと主張しています。

日を追うごとに、Log4jの脆弱性を利用したマルウェアファミリーの配布状況が明らかになってきており、脅威アクターがこの脆弱性を悪用しようとする試みが続いています。例えば12月12日、政府機関や企業にサイバーセキュリティソリューションを提供しているチェックポイント社は、毎分約100件の脆弱性の悪用が確認されていることをブログで発表しました。また、Log4jを悪用しようとする試みが280万件以上確認されており、サイバー攻撃の46％が既知の脅威アクターのグループによるものであると述べています。

BlackBerryの脅威インテリジェンス担当ディレクターである Jim Simpson は次のように述べています。「これまで何度も見てきたように、国家的な脅威アクターは、攻撃の有効性が高く、攻撃者の属性が不明瞭なノイズの中で活動が盛んになります。ここは、彼らが侵入して活動するための格好の場所なのです。」と述べています。

12月に入ると、企業やその他のターゲットがシステムにパッチを適用する前に攻撃を仕掛けようと、脅威アクターの活動はますます大胆になっています。例えば12月13日、ビットディフェンダー社は、攻撃者が新たにKhonsariランサムウェアやOrcus RAT（リモートアクセストロイの木馬）、XMRig (Monero CPU miner)などのマルウェアを展開しているのを確認しました。XMRigは、基本的に感染したデバイスを暗号通貨を採掘するボットネットのドローンに変えてしまうため、あらゆる規模の企業にとって特に危険です。

12月17日には、AdvIntel社が、ContiランサムウェアグループがLog4jの脆弱性を積極的に利用してVMware vCenterネットワークを標的にしていることを報告しました。最近では、12月20日にBleeping Computerの記事で、バンキング型トロイの木馬Dridex が侵入後に実行されているのを発見したことが取り上げられました。

米国連邦政府の対応

その後、米国土安全保障省（DHS）のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA、Cybersecurity and Infrastructure Security Agency）は、サイバー攻撃対策に向けた官民連携のイニシアチブであるJoint Cyber Defense Collaborative（JCDC）内に、Log4jの脆弱性に対処するためのリーダーシップグループを設置しました。CVE-2021-44228は、CISAの既知の悪用された脆弱性カタログにも追加されました。CISAのディレクターであるJen Easterly氏は、初の拘束力のある運用指令を発表し、積極的に悪用される脆弱性について「緊急かつ優先的に修正を進める」よう、連邦民間機関に指示しました。

Easterly氏は、11月3日に発表されたCISAのプレスリリースで、「我々の敵は毎日、既知の脆弱性を利用して連邦政府機関を狙っています。連邦政府のサイバーセキュリティの運用責任者である我々は、悪意のあるアクターが積極的に利用していることがわかっている特定の脆弱性の緩和に向けて、サイバーセキュリティの取り組みを推進するために、指令の権限を利用しています。この指令は、連邦民間機関が脆弱性管理を改善するために、ただちに行動を起こすよう、明確な要件を示しています。」と述べています。

また、Easterly氏は続けて、「この指令は各連邦民間機関に適用されますが、重要インフラ事業者を含む全国の組織が、同じ脆弱性を利用した攻撃の標的とされていることがわかっています。したがって、すべての組織がこの指令を適用し、CISAの公開目録に挙げられている脆弱性を優先的に緩和することが重要です」と述べています。

緩和策

多くの大手インダストリアル企業および消費財企業は、自社の消費者向け製品にLog4jが含まれているかどうかを把握するため、内部調査を開始しました。もし発見されれば、重要インフラに指定されているものを含むインダストリアル業界が、サイバー攻撃やデータ窃盗、ランサムウェア、恐喝、二重恐喝などの被害に遭うという悲惨なシナリオが待っています。

しかし、そこには希望があります。脆弱なLog4jライブラリの作者であるApacheソフトウェア財団は、12月14日と18日にセキュリティパッチを発行しました。Logging.apacheのサイトでは、「Log4j 2.3.1 (for Java 6)、2.12.3 (for Java 7)、または 2.17.0 (for Java 8 and later)にアップグレードしてください。」と簡単な緩和策が提供されています。

また、数十社のベンダーがセキュリティアップデートやパッチをリリースしています。IT管理ツールを提供するN-able社は、同社のRMM製品とリスクインテリジェンス製品にパッチを適用しました。また、自動パッチ管理ソフトウェアのConnectWise社は、同社のクラウドサービス「Perch」に脆弱性のあるサードパーティ製コンポーネントがあるとして、アップデートを公開しました。

脆弱性データベース（NVD）では、CVE-2021-44228のエントリに次のような安心感を与えるメッセージを掲載しています。「log4j 2.15.0から、この動作はデフォルトで無効になっています。バージョン2.16.0からは、この機能は完全に削除されています。この脆弱性は log4j-core 特有のものであり、log4net, log4cxx, あるいは他の Apache Logging Services プロジェクトには影響しないことをご留意ください。」

BlackBerryでLog4jにおける攻撃者侵入後の活動を阻止する方法

脆弱なソフトウェアコンポーネントはマルウェアではないため、侵入してきたマルウェアやランサムウェアを検出するためにウイルスシグネチャを使用して既知の悪意のあるファイルを検出することに重点を置いているレガシーのセキュリティ製品にとっては、Log4jの脆弱性の存在は「見えない」ものとなっています。

しかし、BlackBerry® Protect や BlackBerry® Optics といったより高度なセキュリティソリューションでは、脆弱性を悪用して配信されるペイロードや試みられた攻撃手法を検出し、実行をブロックします。BlackBerryは長年にわたり、膨大な数のランサムウェアやコインマイナーをBlackBerry製品に対してテストしてきましたが、BlackBerryのプラットフォームはそれらを検出し、実行を阻止することに成功しています。ブラックベリー製品は、高度に訓練された人工知能（AI）モデルを使用しており、機械学習を用いて、マルウェアが存在しない場合でも、狙われた被害者の環境における不審な活動や行動を検出します。

ゼロトラストフレームワークを導入することは、マルウェアに依存しないサイバー攻撃を撃退するための、もう一つの高い効果があります。多くの研究者が指摘しているように、Log4jライブラリに依存している多くのアプリは、おそらくファイルシステムのパーミッションを持っていません。Log4jがランサムウェアの攻撃に利用されるのを防ぐには、この単純なパーミッションの拒否で十分な場合があります。ゼロトラスト環境では、最小権限のアクセスポリシーを全面的に実施することで、これらの保護をすべてのアプリケーション、デバイス、およびユーザに拡大します。

Log4jの脆弱性はまだ有効でパッチが適用されていませんが、多くの攻撃者は最終的にこの欠陥を利用して、危険なシステムに悪意のあるファイルをロードしようとします。このような悪意のあるペイロード（ファイル）は、Cylance® AIを搭載したエンドポイントプロテクションシステムであるBlackBerry® Protectによって検知・阻止することができます。BlackBerry® Protectは、既知のマルウェアとゼロデイマルウェアの両方を識別し、実行される前に阻止するように訓練されています。

脅威アクターが機会をうかがっている中で、特に組織のプロセスが遅くなり、人員も少なくなるホリデーシーズンには、Log4Shell は攻撃者が期待していた贈り物になるかもしれません。その間にも、BlackBerry は常に警戒を怠らず、この脅威に関する新たな情報が得られれば、それをお伝えします。

BlackBerryによるサポート

BlackBerry と既にお取引があるかに関わらず、BlackBerry Incident Response チームは、あらゆる規模のあらゆる業種の組織と協力して、エンドポイントセキュリティの態勢を評価および強化し、ネットワークインフラストラクチャのセキュリティや整合性、回復力をプロアクティブに維持することができます。

緊急のサポートが必要な場合は、当社の問い合わせフォームをご利用ください。

連邦政府による支援

FBIは、組織がLog4jによって危険にさらされていると思われる場合、彼らに連絡することを望んでいます。Log4jの脆弱性に関するFBIの声明には次のように書かれています。「Log4jの脆弱性によってシステムが侵害されたと感じている場合、あるいは修正を求めている場合は、推奨されるすべての緩和策を採用し、CISAのガイダンスに従うことをお勧めします。Log4jの脆弱性によって組織が危険にさらされたと思われる場合は、fbi.gov/log4jにアクセスしてFBIに報告してください。FBIとCISAが被害者への働きかけの優先順位を決めるのに役立つよう、できるだけ多くの情報を記載してください。」

組織はさらに、米国インターネット犯罪苦情センター（IC3）を通じて苦情を提出することができます。また、FBIやCISAが追加情報の提供を求める場合もあります。