Log4j 脆弱性とバグ報奨金:大衆のパワーが事態を明確にしてきた

Bug bounty platforms handling thousands of Log4j vulnerability reports

2021/12/22 DailySwig — 世界のソフトウェア・エコシステムに衝撃を与え続けている、Apache Log4j のバグに関連する脆弱性報告が、バグバウンティ・ハンターにより何千件も提出されている。このバグは、オープンソースの Java ロギング・ライブラリ Log4j に存在する、CVSS 値 10 という深刻な欠陥であり、これまでにない数の潜在的な標的に対して、サイバー犯罪者によるリモートコード実行 (RCE) 攻撃を許してしまうものとなる。

このバグが公表されてから2週間足らずで、HackerOne 上の400以上のプログラムに対して、500人以上のハッカーが 1700件近いレポートを提出したと、同社の担当者が The Daily Swig に語っている。

この、米国を拠点とプラットフォームによると、報告書提出の最初のピーク時には、ハッカーの 30%近くが Log4Shell に関連する脆弱性報告書を提出したとのことだ。
HackerOne での Log4Shell に関連する支払いは、これまでのところ、合計で $249,500 に達している。

同じく米国に本社を置く Bugcrowd は、この問題が発生して以来、何千もの Log4j 関連の報告を検証し、処理していると述べている。また、パリを拠点とするバグバウンティ・プラットフォーム YesWeHack によると、12月9日に Log4Shell が公開された後の、最初の1週間で 140件の報告があったという。同じく欧州のプラットフォームである Intigriti は、情報公開後の週末に 130件以上の報告を評価したと述べている。

Intigriti の Head of Hackers である Inti De Ceukelaire は、「自動化と偵察ツールの増加により、広範囲におよぶ攻撃対象を迅速に検出し、即応的にカバーすることが可能になり、ほとんどのユーザー企業の動きに先行することになった」と、The Daily Swigに語っている。

アキレス腱とは

米国 Cybersecurity and Infrastructure Security Agency (CISA) の Director である Jen Easterly が「最も深刻ではないにしても、これまで見てきた中で、最も深刻な問題の1つ」と表現した欠陥が、広範囲で容易に悪用されていることを考えると、バグハンターの迅速な対応は、これ以上に価値のあるものと言えるだろう。

この問題は、初期パッチに対するバイパスにより複雑化し、数多くの Apache プロジェクトや、Microsoft/Cisco/Google などのコンシューマ/エンタープライズ向けアプリケーションに影響を与えている。

YesWeHack の副 CTO である Gilles Yonnet は、「この特殊なケースは、ログの記録という無害で通常は “難攻不落 “な機能において、多くのケースでは気づかないうちに、ほとんど全てのシステムが使用していたコンポーネントが、インターネットのアキレス腱であることを証明している」と語っている。Intigriti は、影響を受けた Log4j のバージョンを使って社内で開発された、アプリケーションをマッピングするのは簡単だが、サードパーティ製ソフトウェアの依存関係を追跡することが極めて困難だと指摘している。

報酬の向上

YesWeHack の Yonnet によると、同社の顧客たちは、このような緊急性の高い問題への複雑な対応を考慮して、欠陥が初めて公開された翌日の 12月10日から、プログラムへの Log4j の追加を依頼し始めたとのことだ。このフランスのプラットフォームは、顧客が内部リソース外の脆弱なコンポーネントを特定し、さまざまな技術コンテキストにおける脆弱なコンポーネントの悪用の影響を理解し、パッチによる新たな欠陥の生成や、バイパスの可否などを検証するのに役立ったと述べている。

Bugcrowd の CTO である Casey Ellis は、「Bugcrowd の顧客の中には、Log4j のバグに対して明らかに報酬を追加しているところもあり、Bugcrowd は Log4j に特化したオンデマンドのプライベート・プログラムをいくつか運営している」と、The Daily Swig に語っている。

HackerOne が The Daily Swig に語ったところによると、欠陥が顕在化してから 11日間において、Log4Shell をスコープに入れたプログラムの数は 30% から 77% に増加し、関連するペイロードも著しく進化していたとのことだ。これは、WAF などの防御策を回避する倫理的ハッカーの創造性を示すものだ。

正反対の考え方

バグバウンティ・モデルは、この危機的状況において、多層防御の重要な部分を担っている。YesWeHack の Yonnet は、「バグバウンティは、数十人/数百人/数千人の研究者たちを巻き込んだ、セキュリティに対する積極的なアプローチであり、組織が限られた社内のリソースと時間の中で、この重大な欠陥に対処するために奔走する際に、大きな助けとなる」と述べている。

また、Bugcrowd の Casey Ellis は、「バグバウンティ・ハンティングの実態は、つまり、ほとんどの構築/破壊のフィードバックは、すべてが『反対側からの思考』となる。構築者と防御者の仮定を取り去り、それを反転させ、セキュリティの観点からのリスクや意図しない結果が、どこに存在するかを見極める。現在の Log4j においては、『自身の Log4j インスタンスが存在する場所を知っている』という、多くの人々が思考を逆転させる必要がある。この10日ほどの間に、群衆の力が発揮され、それが実現した」と説明している。

Casey Ellis は、「私の考えは、これらの Log4j の脆弱性が、多くのセキュリティチームが列挙するのに慣れているプロトコル・レベルではなく、ライブラリ・レベルで存在するという事実から、次の段階の価値が生まれるというものだ。私が言うところの研究主導の保証は、この脆弱性の2次/3次のトリガーを探すのに優れており、これまで考えられなかったような、新しいトリガーの方法をスキャンしている」と述べている。

弱点を残さないこと

Intigriti の Inti De Ceukelaire は、「発見されたばかりのゼロデイに対する報奨金の支払い方法は多様だ。冷却期間内に提出されたレポートに対する報奨金は、企業の裁量により与えられる。一般的な経験則としては、この期間内に社内の取り組みにより脆弱性が発見されなかった場合に、報奨金を支払うことを推奨する」と述べている。

彼は、「いくつかのバグバウンティ・プログラムは、内部調査が終わった後に、log4j の脆弱性に対して特別なボーナス/報酬を支払っている。そうすることで、実施した修正を相互に検証することができ、弱点を残さないような取り組みが可能となる」と付け加えている。

Log4j に関する多様な記事が提供され、さまざまな視点が共有されていますが、この手のものは初めてです。11月30日に「オープンソースからバグを取り除く:重要なのは報奨金とエコシステムだ」という記事をポストしましたが、その冒頭には、「オープンソースのプログラムに脆弱性が発見されると、クローズドソースで発見された脆弱性よりも、はるかに容易に武器化し、悪用される傾向にある。これが、現実だ」という一文があります。今回の Log4j 問題に重なり合いますね。適切な、バグバウンティ・プログラムは重要です。

%d bloggers like this: