SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2021年12月14日号

***************************************************************
 史上最悪の脆弱性と言われているApache Log4jが与える影響は?
***************************************************************
Apacheとは、世界的に最も普及しているWebサーバ(HTTPサーバ)ソフトウェアの一つである。
その中のApache Log4jはJavaベースのロギングユーティリティであり、このApache Log4jで、
深刻な脆弱性(CVE-2021-44228)が報告された。

悪意の第三者が悪意のコードを送信するだけで、Log4jがログとして記録してしまい、Lookupで
指定された通信先や内部のパスからjava classファイルを読み込んで実行してしまう。
これによって、この脆弱性を利用し遠隔制御され任意のコードを実行されてしまう可能性がある。
この脆弱性に対する共通脆弱性評価システムは10.0の最大値となっている。

12月11日、JPCERT コーディネーションセンター(JPCERT/CC)がこの脆弱性を悪用する攻撃を
日本で確認したとして緊急の注意喚起をしている。
また世界でもこの脆弱性を悪用した攻撃が各所で確認されて報告されている。

対応策は、アップデートによる脆弱性の解消や暫定的な脆弱性の回避策などが発表されているが
Apache自体が企業のシステムやウェブアプリで広く利用されているため、アップデートする場合はその
影響を評価してから行わなければシステムが停止するリスクもある。

企業によっては数百台、数千台の該当サーバが存在しているため、容易にアップデート出来るという
ものでもない。

またApache Log4jを利用している各社からも、影響を受ける複数の対象製品が報告されていて、
VMwareでは「VMware vCenter Server」をはじめ36製品。Ciscoからはコミュニケーション製品
としてリモート接続等で利用される「Cisco Webex Meetings Server」などをはじめ、22製品が
影響を受けるとなっている。

さて広い分野で数多く使われている製品に深刻な脆弱性が出るとサイバー攻撃による情報流出は
劇的に増加する。

先に記載したように利用している数が多すぎて「分かっているけれどアップデートが出来ない」ケースの
他にもクラウドサービスやレンタルサーバなどの場合、そこを利用する中小企業などは「情報セキュリティ
担当者がいない」という実態があり、脆弱性の存在すら知らず、脆弱性のあるサーバをそのまま利用
することになる。
クラウドサービスやレンタルサーバの提供会社は、一旦貸し出したサーバは「通信の秘密」に抵触する
として積極的に手を加える事は出来ない。

つまりサイバー攻撃者にしてみれば、リモート制御できるサーバが至る所に存在していて、自由にやり
放題という事になる。

サイバー攻撃者の基本は脆弱性を利用して攻撃する。通常は脆弱性を探し出してそこを狙うのだが
今回の脆弱性は至る所に存在するから手間がかからないという事になる。

年末にかけてハッキングによる情報流出が激増しているのもこれらが原因である可能性が高い。
脆弱性を利用してリモートコントロールされ、情報を抜き取るマルウェアやスパイウェアが設置されたら
如何に高額、高性能のセキュリティ製品を設置していたとしても、いとも簡単に情報が抜かれてしまう。

最近のニュースでは政治的な観点も含めて中国のニュースをよく耳にする。欧米諸国が人権問題を
理由に北京五輪に政府関係者を派遣しないと表明した国も多数出てきていて、中国国内からの
反感も必至で、そうなると増加するのはサイバー攻撃である。

しかも中国は世界中の人々の考え方までコントロールする「フェイクニュース」を流し、自分たちの動き
が有利になるよう情報を操作し、サイバー攻撃を行い、最終的に情報を盗んでいく。

間もなく年末年始を迎えるが、今回のサイバー攻撃は例年の比ではないと想定される。
セキュリティパッチがされていないApache Log4jの脆弱性を持つサーバが多数存在する。
それ以外の脆弱性もある。
人権問題や五輪問題、東シナ海問題、台湾問題等を抱える中国に制裁を加える動きも出れば、
その反動でサイバー攻撃が増加する。

このような状況で日本の政府機関や企業はどのように対応するのか?
個人情報から機密情報、企業の命となる技術情報などが奪われたらどうなるか?
コロナウイルス感染者の減少による経済効果対策どころではない。
経済効果の上昇以上に被害が拡大するだろう。
経済政策により蓄えられた個人資産が動き出し、日本国内に流通し始めればそれを奪われる。
次世代の経済を支える各種重要情報も奪われ、日本は今の苦境から抜け出せない。

中国だけではない、ロシアや北朝鮮、その他の国のサイバー攻撃者も同じことを考えている。
丸裸の日本を守るには一人一人が現実を把握し、何をすべきか考える必要がある。

新年を迎えて出社したら、サイバー攻撃で情報が抜き取られていたなどという事にならないためにも、
年末年始対策のセキュリティ対策を考え実施しなければならない。
---------------------------------------------------------------------------------
 <参考URL>
ZDNet Japan:2021/12/12
Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始
https://japan.zdnet.com/article/35180746/

WIRED:2021/12/12
システムの重要な基盤「Log4j」の脆弱性が、世界中に“破壊的”な影響を及ぼしている
https://wired.jp/2021/12/07/for-women-in-science-festival-ws/

IPA 情報処理推進機構:2021/12/13
Apache Log4jの脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

YAHOO ニュース/COURRIER JAPON:2021/12/10
人の「脳」にまで侵入する中国の情報工作 一体どんな手が使われているのか
https://news.yahoo.co.jp/articles/3c6ad025cd5ed54d9b5645fd135858203041d8a8


                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved