Google 調査:Log4j の影響を受ける Java Packages は 35,863 種類

Google Finds 35,863 Java Packages Using Defective Log4j

2021/12/20 SecurityWeek — コンピュータ・セキュリティ業界は、Log4j のセキュリティ問題が散見される、長くて険しい道のりに気を引き締めている。専門家たちは、ソフトウェアの依存関係にパッチを当てる作業が上手くいかないと、世界的な緩和策が遅れてしまうと警告している。今週に、Google のオープンソース・チームが、Maven Central にある 35,863個のJava パッケージが、欠陥のある Log4j ライブラリ。バージョンを使用していると報告したことで、この危機の規模と影響が明らかになった。(編集部注:Maven Centralは最大かつ最重要な Java パッケージ・リポジトリ)

Google の Open Source Insights Team の研究者である、James Wetter と Nicky Ringland のメモは、「Maven Central に存在する全パッケージの 8% 以上が、この脆弱性の影響を受けるバージョンを、少なくとも1つは含んでいることを意味する。エコシステムへの影響を考えると、8% は極めて大きな数値だ。Maven Central に影響を与えるアドバイザリの、平均的なエコシステムへの影響は 2% であり、中央値は 0.1% 未満となる」と説明している。

この脆弱性 CVE-2021-44228 は、今年の11月24日に Alibaba のクラウド・セキュリティ・チームにより発見/報告された。 その後、2週間も経たないうちに脆弱性の悪用が確認され、優先度の高い複数のパッチがリリースされ、業界全体で実用的な緩和策の適用に向けた取り組みが進められている。

この2週間で、中国/北朝鮮/イラン/トルコに関連する、国家レベルの APT アクターが、コード実行の欠陥を突くエクスプロイトをハッキング・ツールキットに追加した。また、ランサムウェアやボットネットのギャングたちが、Log4j マルウェアのエクスプロイトを起動しているという、信頼できる筋からの報告が複数ある。

世界中のセキュリティ・プログラムが本格的な危機に瀕している中、専門家たちは、ソフトウェアの依存関係や推移的依存関係により、パッチの適用が非常に困難であることから、この問題の根絶には長い時間と労力がかかると警告している。

Google の James Wetter は、「この脆弱性の完全な爆発範囲を決定することは、現時点では難しい。Maven Central に登録されている 35,863個の脆弱な Java アーティファクトのうち、直接依存関係にあるアーティファクトが約7,000個あることを、Google チームは発見した。つまり、それらの影響を受けるアーティファクトは、それぞれの CVE が明示するバージョンの log4j-core または log4j-api に依存していることを意味する。影響を受けるアーティファクトの大部分は、間接的な依存関係に由来している。また、それらのアーティファクトと Log4j の依存関係は、明示的に定義されていないため、推移的な依存関係として捉えられる」と述べている。

この研究チームは、根本的なセキュリティ脆弱性を発見/修正するために、迅速に対応しているが、パッチの適用を阻止される何万ものアーティファクトが存在すると指摘している。

彼は、「この記事を書いている時点で、影響を受けているアーティファクトのうち、約5,000個が修正されている。これは、Log4j のメンテナと、オープンソースを利用するコミュニティによる、迅速な対応と多大な努力の結果である。しかし、依然として 30,000以上のアーティファクトが影響を受ける状況にあり、その多くはパッチを適用する別のアーティファクトに依存 (推移的依存関係) しており、ブロックされている可能性が高い」と述べている。

問題となる主要な観点は、ほとんどのアーティファクトが Log4j に間接的に依存していることである。つまり、脆弱性が依存関係の連鎖の中で深くなればなるほど、修正するために必要なステップが増えるということだ。

Google は、「影響を受けたパッケージの 80%以上において、脆弱性は1レベル以下の深さに存在しており、大部分は5レベル以下で、一部には9レベル以下で影響を受けるものもある。これらのパッケージは、依存関係が最も深いところから順に、ツリーの全部を修正する必要がある」と述べている。

研究者たちは、Log4j の脆弱性の影響を受ける、すべてのアーティファクトに対して完全なパッチを適用するまでには、おそらく数年がかかると考えている。エッジ・セキュリティの大手である、Akamai Technologies の Threat Hunter たちは、「Log4j の欠陥に関連する、悪意のアクティビティの世界的な津波が、すでに発生している。この脆弱性は、非常に長い攻撃の尾を引くだろう」と警告している。

Akamai の Research Note には、新たな攻撃ベクター/ファイアウォール・フィルター回避/エクスプロイト・バリエーションを発見した攻撃者たちが、大規模で連続した偵察を行っていると警告している。Akamai のデータによると、Log4j の悪用を送信している攻撃インフラの約 57% は、すでに同社が把握していたものである。つまり、今回の津波は、新規の攻撃者によるものであると同時に、多様な脅威アクターたちが、そこに参入してきたという状況にあると述べている。そして、米国のネットワークが、攻撃の影響を受けていると指摘している。

先日に友人と話していて、Log4Shell に関する数値データは無いのかという話題になりました。すでに、「Log4j の悪用:企業ネットワークの 40% が攻撃者の標的になり得る」という記事をポストしていますが、今日の記事が参照する Google のコメント「依然として 30,000以上のアーティファクトが影響を受ける状況にあり、その多くはパッチを適用する別のアーティファクトに依存している」という部分と、「この脆弱性は1レベル以下の深さに存在しており、大部分は5レベル以下で、一部には9レベル以下で影響を受けるものもある」という部分で用いられる数字が、Log4Shell 問題の性質を表す数字だと思えてきました。→ Log4j まとめページ

%d bloggers like this: