新たな重大なゼロデイ脆弱性が世界を席巻しています。2021年12月10日、 Apache Software Foundationは、Log4j Javaライブラリで確認された脆弱性に対するパッチアップグレードのインストールをユーザーに促しました。複数の公開情報筋によると、AlibabaのChen Zhaojun氏がこの脆弱性を特定し、Apacheに報告しました。このリモートコード実行(RCE)脆弱性はCVE-2021-44228と命名されています。このゼロデイ脆弱性は深刻であり、発見されて以来、多くの攻撃を引き起こしています。
影響はどれほどひどいのか
Log4jエクスプロイトは、Apple iCloud、Minecraft、Steam、すべてのApache製品など、多くの主要製品に影響を与えています。このリスクは、無数のアプリケーションやサーバーで使用されているApacheのJavaライブラリを悪用します。そのため、Appleユーザーは、ダウンロードするアプリケーションやインターネット上で共有する情報など、いくつかの点に注意を払うことが推奨されます。
たとえば、Apple iCloud に接続された Web アプリケーションを使用している場合や、iPhone や MacBook で Minecraft をプレイしている場合は、データが盗まれる可能性があります。
この脅威の主な被害者は、ウェブアプリケーション、さらにはApple製品上で動作するウェブサイトです。多くの攻撃は、時代遅れ、あるいは開発が不十分なウェブサイトやアプリケーションが原因で発生しています。ウェブサイトがセキュリティ対策を最優先に考慮して構築されていない場合、多くの脅威に対して脆弱になる可能性があります。脆弱性を防ぐために、安全なウェブサイトを構築できる開発者を擁する信頼できるウェブデザイン会社を雇うことの重要性が浮き彫りになっています。
報道によると、サーバー上でiPhoneの名前を変更するといった些細なことでも、脅威アクターがシステムに侵入できる可能性があるとのことです。それほど簡単にデータを盗むことができるのです。このことから、リスクの深刻さがお分かりいただけるかもしれません。
Log4jゼロデイエクスプロイトの検出
この脆弱性は膨大なJavaライブラリ内に存在するため、検出が困難です。そのため、脆弱性はより深刻化します。しかし、システム管理者がシステムに脆弱性があるかどうかを検出するための特定の手順があります。
- Javaプロセスからの悪意のある送信トラフィックを識別するための検出ルールを作成する
- 脆弱なライブラリと隣接するハッシュをすべて文書化し、ライブラリから悪意のあるIPアドレスへの送信トラフィックを警告する検出ルールを作成します。
- 既存の脆弱性を検出するためにITインフラストラクチャ全体を徹底的に評価する
- 脆弱性を悪用するにはJavaコンポーネントからのアウトバウンド接続が必要であるため、接続を監視することでリスクを検出することができます。
Log4jゼロデイエクスプロイトの緩和
この脆弱性は非常に深刻であるため、Apacheは迅速にパッチを開発し、問題を克服するためのパッチをリリースしました。したがって、この問題を軽減する最善の方法は、パッチバージョン12.5.0にアップグレードすることです。これにより、永続的な解決策が提供されます。このような問題を回避するには、アプリケーションとシステムを最新バージョンにアップグレードすることを常に推奨します。ただし、アップグレードできない場合でも、いくつかの選択肢があります。
Apacheはこの目的のためにいくつかのガイドラインを提供しています。ガイドラインによると、いくつかの設定を調整することで問題を解決できます。さらに、以下のような対策も講じることができます。
- Webアプリケーションファイアウォール(WAF)の実装
- WAFでアプリケーションからの送信リクエストを制限する
- 定期的な脆弱性評価の実施
Apple ユーザーはこれについて何かできるでしょうか?
このような脆弱性を修正するのはサイバーセキュリティの専門家の仕事です。そのため、エンドユーザーはLog4jエクスプロイトに対して何もできないと思われるかもしれません。しかし、それは事実ではありません。一般ユーザーでも実施できる予防措置がいくつかあります。
ダウンロードする新しいアプリケーションにも注意が必要です。このエクスプロイトは、ユーザーが提供したデータによっても実行される可能性があります。ネットワーク経由でデータを転送すると、エクスプロイトがトリガーされ、システム全体が攻撃される可能性があります。そのため、必要がない限り新しいアプリケーションのインストールは避けることをお勧めします。また、信頼できるアプリケーションのみをインストールして使用してください。
2021年はサイバーセキュリティの面で最悪の年となりました。SolarWindsからKaseyaまで、今年は複数の大規模なサイバー攻撃が発生しました。これらの攻撃は、脅威アクターにとって金銭的利益を得るための絶好の手段となっています。そのため、サイバー攻撃の件数は飛躍的に増加しており、この傾向は今後も続くと予想されます。
ビジネス界だけでなく、社会全体でサイバーセキュリティ文化を醸成することが不可欠です。誰もがサイバーセキュリティについて学び、人為的ミスを減らすには、意識を高めることが鍵となります。
