WhiteSource の OSS Tool:Log4j 脆弱性の発見を容易にする

WhiteSource Open Source Tool Can Discover Log4j Vulnerabilities

2021/12/20 SecurityBoulevard — WhiteSource は、Log4j ロギング・ソフトウェアの脆弱なインスタンスを検出するための、オープンソース・ツールを公開した。最近になって公開された Log4j の欠陥は、サイバー犯罪者が Java アプリケーションを介して、リモートコード実行 (RCE) 攻撃を仕掛けることを許してしまう。

WhiteSource の CEO である Rami Sass によると、同社は Command-Line Interface (CLI) ツールの拡張機能をテスト中であり、Log4j の脆弱性 CVE-2021-44228 および CVE-2021-445046 を、IT チームが自動的に修正できるようにする予定だという。

WhiteSource のツールは GitHub で公開されており、Rami Sass によると、このツールはプロジェクトをスキャンして、脆弱な Log4j のバージョンを発見し、その脆弱性が IT 環境自体に存在する場合でも、外部アプリケーションへの依存関係を介して存在する場合でも、修正のために必要なアクションを明らかにするという。

Rami Sass は、「Log4j 脆弱性の深刻さにより、ほとんどの組織において、この問題は迅速に対処されている。そして、IT チームが直面している課題は、何らかの理由で追跡されていない Log4j インスタンスが、数多く存在しているかもしれないという状況への対応である。WhiteSource のツールは、脆弱性を修正するためにアップデートが必要な Log4j インスタンスを、あるいは、少なくとも再設定が必要な Log4j のインスタンスを、発見するために必要な時間/労力を削減するように設計されている」と述べている。

WhiteSource によると、すでにサイバー犯罪者たちが、何百万回も Log4j の脆弱性を悪用しようと試みているのは、すでにチャンスが閉じかけていることを認識しているためだという。Rami Sass は、「全体的に見て、オープンソース・コミュニティは、新たに発見されたゼロデイ脆弱性への対応に習熟してきている。今回の Log4j の脆弱性は、近年に発見された一連の脆弱性の中で、最新のものに過ぎないと認識している。ほとんどの企業の IT 組織は、対応時間を短縮するセキュリティ・インシデント・レスポンス・プラットフォームの導入を、すでに進めているか、計画しているかの、いずれかだ」と述べている。

さらに、「長期的にみると、セキュリティ・ツールのプロバイダーが、IT 環境で実際に行われていることを詳しく把握することで、この種の脆弱性を修復するための自動化が、より一般的になると ITチームは期待するべきだ」と付け加えている。

しかし、その一方で、Log4j の脆弱性により引き起こされた混乱の度合いは大きい。オープンソース・コミュニティは、脆弱性を公開することの責任と、IT チームによる早急化コードの修正との間で、バランスを取ろうとしている。また、IT チームは、サイバー犯罪者の一部は、これらの脆弱性の存在を以前から知っていたと考えるべきだ。問題は、これらの脆弱性の悪用が、どの程度まで進んでいるのかを判断することだ。

サイバー・セキュリティの専門家たちは、アプリケーション開発者と連携を密接にし、アプリケーション内に存在するオープンソース・コンポーネントの種類を理解すべきだ。最近になって、Software Bills Of Materials (SBOMs) に注目が集まっているのは、この必要性があるからだ。SBOM は、一連の DevSecOps のベスト・プラクティスの一環として、組織内における全体的なリスク・レベルを、容易に評価できるようにするものだ。それが無ければ、アプリケーションへの新機能の追加と、脆弱性の修正の優先順位とのバランスを取ろうとする開発者を、発見された膨大な数の脆弱性が圧倒してしまうだろう。

こうした、オープンソースの Log4j 対応スキャン・ツールが出てくることは、とても有難いことです。ただ、この問題は、脆弱性の位置を特定できたとしても、ただちにパッチを適用できないケースが多いところに在るようです。その意味で、文中でも触れられている Software Bills Of Materials (SBOMs) は、ソフトウェア・パッケージに含まてている、あらゆる階層構造を可視化してくれるはずなので、期待してしまいますね。→ Log4j まとめページ

%d bloggers like this: