CISA の Log4j 緊急指令:さまざまな報告義務は意図どおりに機能するのか?

CISA Issues Emergency Directive on Log4j

2021/12/20 SecurityBoulevard — 人気の Java ベースのロギング・ライブラリ Log4j に存在する、一連の脆弱性への警戒レベルを高めるために、Cybersecurity and Infrastructure Security Agency (CISA) が緊急指令を発出した。この脆弱性は、2021年12月9日に公開された、複数の脅威アクターたちにより活発に悪用されている。

CISA は、連邦政府と連携する民間行機関に対して、この脆弱性が許容できないリスクをもたらしており、緊急措置が必要であると判断した。今回の指令では、これらの機関に対して、Apache Log4j の脆弱性を緩和し、それを悪用するサイバー攻撃から防御する措置をとるよう指示している。

CISA が Log4j に関する緊急指令を発表:許容できないリスク

これらの脆弱性の、いずれかが悪用されると、認証されていないリモートの攻撃者が、対象となるサーバー上でコードを実行することが可能になる。データ入力を受け付けるソフトウェアが Java で書かれていない場合でも、Java で書かれたバックエンド・システムへの経路となり、悪意の文字列を渡すという可能性が生じる。

この指令は、各機関に対し、2021年12月23日までに影響を受けたソフトウェア資産をネットワークから削除し、2021年12月28日までに影響を受けたソフトウェア・アプリケーションを報告するよう指示している。

CISA は、「この決定は、現在、この脆弱性を悪用する脅威アクターが存在し、さらなる悪用につながる可能性があること、連邦政府の関連組織内で影響を受けるソフトウェアが普及していること、政府機関の情報システムが危険にさらされる可能性が高いことに基づく」と述べている。

現行の緊急指令では、インターネットからのデータ入力を受け付けるスタックへの対応を優先しているが、同様の措置を組織内のインフラ全体に適用することを、強く推奨している。また、CISA の指令では、いまは流動的な状況であるため、より広範な機関が所有する情報技術 (IT) と運用技術 (OT) に適用が可能な、補足的な指示を出す予定であるとしている。CISAは、2022年2月15日までに、国土安全保障長官と行政管理予算局長官に対して、省庁を横断する対策の状況と、未解決の問題に関する報告書を提出する。

この緊急指令には、「CISA はパートナーと協力して、これらの脆弱性に関連した積極的な悪用を監視し続け、必要に応じて各機関に通知し、追加のガイダンスを提供する。また、この指令の遵守についえ、十分な内部能力を持たない機関に対しては、技術的な支援を行う」と述べている。

また CISA は、持続的かつ継続的なサイバー脅威と年末年始の休暇を考慮し、重要インフラの所有者および運営者に対して、悪意のサイバー攻撃の可能性に対するコンピュータ・ネットワーク防御を、強化するための対策を早急に講じるよう求めた。

この提言の中で CISA は、IT セキュリティのリーダーたちに対して、ネットワーク防御者がベスト・プラクティスを確実に実施し、組織的な警戒態勢を強化し、迅速な対応ができるよう準備することを推奨している。

CISA は、2021年12月15日に発表した勧告の中で、「スタッフに報告プロセスを確認させ、業務継続計画を実行し、IT が制約された環境などにおいて、主要な機能を運用する能力をテストする」と述べている。CISA は、2021年12月15日に発表した勧告の中で、「組織のセクター間の依存関係を考慮し、自組織内で発生する可能性のあるインシデントが他セクターに与える影響および、他セクターで発生したインシデントが自組織に与える影響を考慮するべきだ」と述べている。

企業のサイバー・セキュリティ・リスクを軽減するための、SaaS を提供する Vulcan Cyber の Director of Information Security である Dor Dali は、「すべてのサイバー・セキュリティ組織が Log4Shell を軽減するために、行動を起こす必要があると認識している。問題は、自分たちの環境では、どのような対策が必要かということだ。残念ながら、正解はケースバイケースとなる。連邦政府機関が対策を講じる要があるとしたら、Log4j に特化したセキュリティ態勢の評価を知らず、どこから手をつければ良いのか分からずに混乱している可能性も高いだろう」と述べている。

Dali は、「少なくとも1つの脆弱性スキャナを使用し、脅威情報フィードを参照し、資産データをまとめ、脅威の許容レベルとリスク SLA を確立することを推奨する。続いて、それらのデータを組織別や機能別に集計し、管理しやすくした上で、緩和策の優先順位付けと作業の委任を開始する。理解できないものを、修正することはできない。マシンの中のゴーストを追いかける前に、まず Log4Shell のリスクについて、全体的に把握することが不可欠だ」と付け加えている。

Ankle Biters と Script Kiddies

インシデント対応を専門とする BreachQuest の CTO である Jake Williams は、「米国政府を標的とした脅威アクターたちが、この脆弱性を利用することは間違いないが、食物連鎖の頂点に立つ者が利用するとは思わない。現時点において、すべての IDS やネットワーク・セキュリティ監視ソリューションが、Log4j JNDI の悪用を探している。したがって、諜報活動のために長期的な持続性を確立したいと考えている、国家レベルの脅威アクターにとって、この脆弱性を利用する価値は小さい。現段階では、CISA の指令は、ほとんどが Ankle Biters や Script Kiddies から機関を保護するものだ」と述べている。

同氏は、「特に Log4j のような注目度の高い脆弱性イベントに対応して、報告要件を義務付ける際には注意が必要だと説明している。現在、Log4j がニュースで話題になっている間は、追加の報告要件を押し付けるのに適した時期なのかもしれない。しかし、このような追加要件は、たとえ善意であっても、悪影響をおよぼす可能性がある。しかし、政策立案者は、報告を義務付けることで、意図に反した運用上の問題を引き起こさないようにする必要がある。さらに、違反報告は何らかの目的を果たす必要がある。報告された違反行為と、公共のセキュリティ態勢の向上との間には、直接的なつながりが必要となる」と述べている。

たしかに、CISA は頑張っていますし、それだけ深刻な問題だという認識があるのでしょう。ただ、強制力のある政策が施行されると、さまざまな弊害が生じるはずです。そのあたりの舵取りが、とても難しいですね。「CISA の Log4j 警告:数億のデバイスに影響する最も深刻な問題の1つだ」や、「米国 CISA から連邦政府各組織へ:Log4Shell への対応を 12月24日までに完了せよ」、「CISA の Log4j 対策:Log4Shell による被害の範囲と深刻さを把握したい」なども、合わせて、ご参照ください。→ Log4j まとめページ

%d bloggers like this: