Log4jの脆弱性、Log4Shellが問題になっています。非常に深刻な事態だと報じられているわけですが、そもそもLog4jとはなんなのでしょうか?その脆弱性がもたらす影響はどのようなことが想定されるのでしょうか?
javaベースのロギングユーティリティ
JPCERT/CCは12月12日に「JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があります」と注意喚起を発しています。
この注意喚起文からわかるのは、攻撃を受ける恐れがあるのはApache Log4jが動作しているサーバーです。そして、どのような攻撃があるのかというと、その脆弱性により、第三者が遠隔操作によってデータを送信することでサーバーが任意のコードを実行してしまう恐れがあるということです。任意のコードはさまざまなケースが想定され、よってさまざまな悪さが行われる恐れがあるということのようです。
Apacheは、世界中で使用されているWebサーバーソフトウェア(HTTPサーバー)です。サーバーにApacheをインストールすることによってWebサーバーとして機能します。Log4jはjavaベースのロギングユーティリティ、ロギングユーティリティとはログデータを出力する機能のあるツールをいい、Log4jによってWebサーバーのログを出力し記録することができます。Log4jは、アメリカに登録されている非営利団体、Apacheソフトウェア財団によって開発されたオープンソースのソフトウェアだということです。
Miraiの亜種やKinsingをサーバーに投下する攻撃
JPCERT/CCによると、Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換するということです。今回の脆弱性は、この機能を悪用し、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで、Log4jはLookupにより指定された通信先もしくは内部パスからjava classファイルを読み込み実行し、結果として任意のコードが実行される可能性がある、ということです。
この脆弱性は、Alibaba Cloud Security TeamのChen Zhaojun氏により報告されました。Recorded Futureによると当初、この脆弱性はサンドボックスビデオゲーム、Minecraftに限定されていると考えられていましたが、より広く適用されることがわかったということです。Apacheソフトウェア財団はこの脆弱性を修正したバージョンをリリースしているということですが、広く利用されているベーシックな機能における脆弱性であるため影響を受ける範囲が確定できず、対策がどこまで進むのか、今後、どのような影響が出るのか判然としていない状況があります。
JPCERT/CCは「すでに本脆弱性の悪用を試みる通信が確認されていることから、対策の適用実施とあわせて、不審なファイル及びプロセスの有無や、通信ログ等を確認し、攻撃の有無を確認することを推奨します」としています。国内の動向については警察庁が観測に乗り出しており、同庁によると12月10日以降、Log4jの脆弱性を標的とした攻撃が観測されているということです。トレンドマイクロの12月15日のブログでは、この脆弱性を利用してボットネットMiraiの亜種やコインマイナーKinsingをサーバーに投下する攻撃が確認されているということです。トレンドマイクロは「この脆弱性を利用して機密情報を窃取する機能を備えたマルウェアKirabashなどがダウンロードされる可能性もある」と指摘しています。
マンディアントは、中国とイランの国家支援を受ける攻撃グループがこの脆弱性を利用していることを確認しているとしていて、国家レベルのサイバー戦にLog4Shellが利用される可能性を示唆しています。Recorded Futureによると、現状のほとんどの攻撃はクリプトマイニングとボットネットからの発信を含め、Mirai、Muhstik、Kinsingによるものだということです。Log4Shellの影響が今後、どのような展開をみせるのか現状、不透明ですが、広く利用されている機能に突然浮上した今回の脆弱性は、デジタル社会そのものの脆弱さを浮き彫りにした印象を受けます。
■出典・参考
https://www.jpcert.or.jp/at/2021/at210050.html
https://www.npa.go.jp/cyberpolice/important/2021/202112141.html
http://www.visards.co.jp/java/java/apache.html
https://ja.wikipedia.org/wiki/Log4j
https://milestone-of-se.nesuke.com/sv-advanced/sv-security/cve-2021-44228-log4shell-logjam/