Special Feature

Log4j騒動から見る脆弱性対策 国内企業は取り組みの遅れが明らかに

2022/03/14 09:00

週刊BCN 2022年03月14日vol.1914掲載


 2021年11月にJavaのロギングライブラリ「Apache Log4j(以下Log4j)」に深刻な脆弱性、通称「Log4Shell」が発見された。Log4jはログ出力などを目的に利用されるライブラリで多くのIT製品に組み込まれていることから、Log4Shellを悪用した攻撃によるセキュリティ事故の増加が懸念された。しかし、早期にLog4jのアップデートが行われたことなどから、現時点では、国内で目立った事故は確認されていない。最悪の事態は免れているものの、セキュリティベンダーは、今回の騒動で国内企業の関心の低さや対応の遅れが明らかになったと指摘し、対策の強化を促している。
(取材・文/岩田晃久)

目立った被害は確認されず

 Log4jは、Webアプリケーションサーバーやデータベース、セキュリティ製品、クラウドサービスなど多くのIT製品で利用されている。ユーザーは最初からLog4jが組み込まれている状態で製品を利用していることから、社内システムでどれだけLog4jが使用されているのか把握できないケースが大半だった。

 Log4Shellが危険視された理由として、リモートから悪意のあるコードを実行できることが挙げられる。そのため、多くの企業の社内システムに点在するLog4jに対し、攻撃者が容易に攻撃を仕掛けることができるとされた。実際、共通脆弱性評価システム「CVSS」で、Log4Shellの深刻度が基準値最大の10.0に設定されたことからも、近年まれに見る高リスクの脆弱性だということが分かる。

 海外では、Log4Shellが発見された直後、ランサムウェア攻撃や認証情報の搾取といった攻撃が確認された。国内でもセキュリティインシデントの発生が懸念されたが、情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT)は、ともに「現時点では国内でLog4jの脆弱性が原因とされる攻撃被害の報告や相談は受けていない」と語る。

 その要因として、Log4Shellが発見された後、すぐにJavaから修正版がリリースされたことが大きい。このバージョンアップにより、攻撃者が用意した任意のJavaコードの実行をいったんは阻止できるようになった。その後、さらなる脆弱性が明らかになったものの、都度バージョンアップを実施し対応を強化した。大々的に報道されたことで、ユーザーがいち早くこのバージョンアップを実行したことも被害の拡大を食い止めた要因として考えられる。

 だが、JPCERTは「Log4jの一連の脆弱性は、攻撃手法によってはシステムに侵入してからユーザーが気づくまで、ある程度の時間を要する場合があると想定される。何か被害が生じた際に、それがLog4jの脆弱性に起因するものだったのか否か、判然としないケースもある。今後、時間の経過とともに被害が発覚する可能性もあるのではないか」としている。
この記事の続き >>
  • 診断ツールを活用して早期発見を
  • DevSecOpsの実現が急務
  • Webアプリケーション保護を強化

続きは「週刊BCN+会員」のみ
ご覧になれます。

(登録無料:所要時間1分程度)

新規会員登録はこちら(登録無料)

会員特典

詳しく見る
  1. 注目のキーパーソンへのインタビューや市場を深掘りした解説・特集など毎週更新される会員限定記事が読み放題!
  2. メールマガジンを毎日配信(土日祝をのぞく)
  3. イベント・セミナー情報の告知が可能(登録および更新)
    SIerをはじめ、ITベンダーが読者の多くを占める「週刊BCN+」が集客をサポートします。
  4. 企業向けIT製品の導入事例情報の詳細PDFデータを何件でもダウンロードし放題!
  • 1