最高峰のAIアンチウイルスをカンタンに

CPMS Cyber Protection Managed Service

CPMSブログ

セキュリティ

2021.12.28

更新2022.02.03

セキュリティ

身近なアプリにも攻撃の可能性アリ!? 今話題のLog4j2の脆弱性と取るべき対策について解説します!

目次

Log4j2の脆弱性を悪用した攻撃から防御する方法とは!?​


AI型ウイルス対策ソフト​「Deep Instinct」が
どのように​Log4j2の脅威に対応するかをご紹介​

資料をダウンロードする

資料をダウンロードする

Log4j2の脆弱性について

2021年12月9日、Apacheのログ収集ツールである「Log4j2」に、深刻なリモートコード実行の脆弱性が公開されました。Log4j2は、商用、非商用、自社開発のアプリケーションやユーザーがログ収集のために広く使用しているオープンソースのJavaフレームワークで、過去のすべてのバージョンに影響を与えます。



例えば、iCloudやMinecraft※でもオープンソースのJavaフレームワークは使われており、日常的に使用しているアプリケーションの多くが今回の脆弱性の対象になっているおそれがあります。

(※既に脆弱性対策が完了しているサービスもあります)



この脆弱性は悪用が容易であることや、さまざまな製品で利用されていることから幅広く影響します。また、この脆弱性を利用したソースコードが開発プラットフォームの「Github」上で公開されており、脆弱性の悪用が可能なことが証明されています。

この脆弱性は既に修正版が提供されており、利用している場合は各アプリケーションを最新版にバージョンアップ頂くことを推奨します。

Log4Shellの危険性

今回公開されたLog4j2の脆弱性は「Log4Shell」と呼ばれています。

Log4Shellは、具体的に何が危険かというと、攻撃者によって遠隔で任意のコード実行ができてしまう点です。

例えば、攻撃対象のサーバから重要データを取得や改竄をしたり、ランサムウェアを呼び寄せて実行させるなど、あらゆる攻撃手段が可能です。



業界や会社の規模を問わず、様々な企業で影響が出ることが予想されています。
また企業だけでなく、アプリケーションの利用ユーザーにも危険が及ぶ可能性があります。




JPCERT CCでも攻撃観測が行われており、注意喚起がありました。
■12月10日以降JPCERT/CCのハニーポットで観測された、「Log4Shell」を狙う通信の推移

出展:2021/12/17 Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測

今、取るべき対策

まず、log4j2を最新バージョン2.15.0に直ちにアップグレードしてください。
バージョン(2.10以上)を使用している場合は、設定システムプロパティ「log4j2.formatMsgNoLookups」を「true」に設定してください(バージョン2.15.0のデフォルト)

以前のバージョン(2.0_beta9 - 2.10.0)での保護は、クラスパスから JndiLookup クラスを削除することで可能です。log4jと相互作用するすべてのコードへの入力検証メカニズムの実装してください

[2022/1/12日追記]
log4j2の最新バージョンは随時更新されています。最新版を確認しアップグレードを行ってください。
2022/1/4時点の最新版
Java 8 及びそれ以降の場合
Apache Log4j 2.17.0
※2.17.0 は、CVE-2021-45105 を対応したバージョンです。

Java 7 の場合
Apache Log4j 2.12.3
※2.12.3 は、CVE-2021-45105 を対応したバージョンです。

また、Deep Instinctでも脆弱性を悪用した攻撃への対策を行うことが可能です。

Deep Instinct vs Log4Shell
仮に、攻撃者がLog4Shellを悪用して、攻撃対象のサーバやクライアント上でシェルコードや悪意のあるマルウェアのペイロードを実行させようとした場合、Deep Instinctであればこうした攻撃を阻止することが可能です。
実際に、どのように防御出来るか動画も用意しております。
下記Deep Instinct社のWebサイトからご確認頂けます。

・Deep Instinct vs CVE-2021-44228
https://www.deepinstinct.com/ja/blog/log4shell-cve-2021-44228-what-you-need-to-know

上記URLの動画は、Deep Instinctを搭載したWindows が脆弱性の悪用から保護される様子を示しています。ここではDeep Instinctのエージェント「D-Client」が、Windowsにインストールされており、悪意のあるサービスが実行されようとしています。攻撃者側のkaliマシンは、PowerShellコマンドの実行を試みる悪意のあるHTTPリクエストを送信することで、攻撃しようとしています。

このようにDeep InstinctであればLog4j2の脆弱性を悪用した攻撃からサーバやクライアントを防御します。 また、MOTEXではDeep Instinctの無料体験版をご用意しております。

弊社SEが無償で操作方法をレクチャーしますので、どこよりも手厚くフォローさせて頂きます。ご興味ありましたら、お気兼ねなくお問い合わせくださいませ。

※本記事は、協業企業のDeep Instinct社のブログより一部転載しています。
転載元ブログURL:https://www.deepinstinct.com/ja/blog/log4shell-cve-2021-44228-what-you-need-to-know

Log4j2の脆弱性を悪用した攻撃から防御する方法とは!?​


AI型ウイルス対策ソフト​「Deep Instinct」が
どのように​Log4j2の脅威に対応するかをご紹介​

資料をダウンロードする

資料をダウンロードする

進化したAIアンチウイルス
「CPMS powered by Deep Instinct」を無料体験

無料体験する

無料体験する

身近なアプリにも攻撃の可能性アリ!? 今話題のLog4j2の脆弱性と取るべき対策について解説します!

関連記事

2022.08.29

セキュリティ

50項目を厳選!サイバー攻撃対策チェックシートで自社の現状を確認してみませんか?

2022.08.19

セキュリティ

病院など医療機関が抑えておくべきサイバーセキュリティ対策をわかりやすく解説

2022.08.09

セキュリティ

サイバーセキュリティ基本法とは?概要や制度改正、企業が行うべき対策をご紹介

2022.08.05

セキュリティ

その稟議書、ちょっと待って下さい!
セキュリティツール導入の決裁を勝ち取る3つの極意

2022.07.22

セキュリティ

エンドポイントセキュリティの重要性や対策ポイントについて解説

2022.07.14

セキュリティ

医療機関が2ヶ月診療を制限…。ランサムウェア「Lockbit」の被害が拡大する理由とは

詳しい資料をご用意しています。

導入時にご検討いただく際の各種資料を
ダウンロードいただけます。

ダウンロードする

全国でセミナーを開催しています。

製品の基本操作から活用方法まで
詳しくご説明いたします。

セミナー情報を見る