2021年12月初頭、Webサーバのログの管理などのために、世界中で広く利用されているApache Log4jに重大な脆弱性が含まれていることが発表され、多くの組織ではこの対応に追われているのでないでしょうか。
すでにこの脆弱性を悪用する攻撃も増加しつつある現状、組織では一刻も早い対応が求められる一方で、この脆弱性の影響を受ける機器がどの機器であるのかの確認や影響調査に時間が取られてしまっている組織も多いのではないでしょうか。
本ブログでは、弊社取り扱い製品であるSecurity Risk RatingツールであるSecurityScorecard Ratingsを活用して、脆弱性への対応ができていない公開サーバを見つける方法について紹介します。
Apache Log4jとは
Apache Log4jは、Javaベースのオープンソースロギングライブラリです。Webサーバのログに対して、FATAL/ERROR/WARN/INFO/DEBUG/TRACEの標準6段階での出力をするのが特徴で、広く世界中のWebサーバで活用されています。
今回発見された脆弱性は任意のコード実行を可能とするものであり、JPCERTによると以下のような危険性があると発表されています。
“Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで、Log4jはLookupにより指定された通信先もしくは内部パスからjava classファイルを読み込み実行し、結果として任意のコードが実行される可能性があります。
https://www.jpcert.or.jp/at/2021/at210050.html
すでに、本脆弱性を悪用した攻撃も確認されています。この脆弱性を悪用することで攻撃者は対象のシステムを踏み台にして、社内の情報を容易に入手できます。そのため現状未対応のシステムに対しては緊急の対応を行う必要があります。
SecurityScorecard Ratingsで未対応のLog4j脆弱性を検出
では今回見つかったApache Log4j脆弱性の対応をどう進めれば良いのでしょうか?
十分に社内の資産管理を行なっている組織であっても、社内システムは莫大にあり、且つ利用しているベンダも多岐にわたるため影響の確認、調査は容易ではありません。数が多い以上、優先順位をつけて対応することが必要です。
そこで有効になる対策の1つに、Security Risk Ratingツールを活用した方法があります。(Security Risk Ratingについての詳細は、こちらのブログを参照ください。)
弊社が取り扱うSecurityScorecard Ratingsでは、12/20時点で未対応の本脆弱性を検出する診断ルールが追加されました。これを活用することで、現状本脆弱性対応がされていないサーバの検出を行うことが可能です。
Security Risk Ratingを活用するメリットとしては、攻撃者視点でのセキュリティ診断を行う点にあります。実際に攻撃者が行っている情報収集と同じ目線で診断を行うからこそ、最優先での対応が必要な Web上に公開されている脆弱性未対応サーバを見つけることが可能です。
中には対応したつもりになっているシステムや、見落とされているシステムもあるかもしれません。このようなシステムまで第三者による攻撃者目線で見つけることができるのがSecurity Risk Ratingを活用するメリットです。
まとめと注意事項
皆様の組織でも、今回の脆弱性の対応を進めているところではないでしょうか。どれだけ社内システムをしっかりと管理していても、どうしても管理漏れが発生する可能性は0にはできません。第三者の目線で、且つ攻撃者の目線で診断ができるSecurity Risk Ratingを定常的に活用することで、今後新たな緊急性の高い脆弱性が検出された場合にも、同様に検出することが可能です。
ただし、Security Risk Ratingはインターネット上の情報から診断を行うものであるが故の注意も必要です。それは、網羅的に見つけるものではない、と言うことです。インターネットに公開されていない、社内からのみのアクセスを可能とするシステムに対しては診断を行うことができないため検出はできません。インターネット公開されているシステムであっても、診断対象から漏れている可能性もあります。
実際、2021年初頭のSolarWinds脆弱性が発見された時にもSecurityScorecard Ratingsでは、インターネット上に公開されている脆弱性未対応のシステムを検出するルールが追加されています。また、Security Risk Ratingは本来サプライチェーンリスク管理を行うツールでもあり、このツールを活用することで自社だけではなく、関連子会社やグループ会社、取引先企業の対応状況まで確認することができます。またその結果を共有しサプライチェーン全体でセキュリティを高めることが可能です。
今後に備えた第三者診断に興味がある方、サプライチェーンリスク管理に興味のある方はぜひSecurity Risk RatingのSecurityScorecard Ratingsをご検討になってはいかがでしょうか。
この記事に関するサービスのご紹介
SecurityScorecard
SecurityScorecard社は、企業のサイバーリスクに対する理解、その改善方法、経営陣/従業員/取引先企業とのコミュニケーションに変革をもたらすことで、より安全な世界を実現することをミッションとした企業です。
詳細はこちら