Log4j 脆弱性へのパッチ適用:もう遅いのか?その前に考えるべきことは?

Critical Log4j Vulnerabilities Are the Ultimate Gift for Cybercriminals

2022/02/02 DarkReading — いま、誰もがパッチ適用に追われている。Log4j のセキュリティ脆弱性が悪用されるのを防ぐために、ドアや窓に鍵をかけている。パッチの適用を急ぐことは理解できるが、多くの人が気づいていないのは、それが既に遅すぎるということだ。しかし、それは、Log4j を利用している組織にとって、悪いことだという意味ではない。この記事では、Log4j の被害を軽減するために知っておくべきこと、そして、やっておくべきことを説明していく。

まず、なぜ Log4j へのパッチ適用が、それほど複雑であるかを理解することが重要である。まず、自社のソフトウェア資産とサードパーティのコンポーネントの双方において、どれだけの資産がインターネットに公開されているかを、誰もが即座に判断できずにいる。また、組織のリスクを特定することも簡単ではない。そのためには、組織が Log4j パッケージを使用しているかどうかだけでなく、それが組織におけるミッション・クリティカルな資産と、どのように関連しているかを知る必要がある。

一般的に、パッチ・プロセスは複雑でありリソースを必要とする。これはパレート分布に、つまり 80対20 の法則に似ている。パッチが利用可能になると、20% の時間と労力で 80%の 抜け穴を修正できるかもしれない。しかし、残りの 20% の抜け穴を修正するために、80% の労力を費やす必要がある。その一方で、攻撃者が必要とするのは、たった1つの侵入口だけである。

自分の盲点を知る

いま、2つのことが起こっている。それは、組織が危険にさらされていることであり、過去の盲点に気づいていることである。Log4j の脆弱性に対するパッチが次々とリリースされ、脆弱性のあるコンポーネントを特定してパッチを適用する機運が高まっているが、それだけでは十分ではない。

また、脆弱性の通知を待って、攻撃者はシステムに侵入するわけではないと理解する必要がある。コードの脆弱性は、パッチが適用される以前から存在しており、数ヶ月あるいは数年前から、ドアは開いていたことになる。知らず知らずのうちに、すでに侵入されているかもしれない。残念ながら、パッチを当てたからといって、魔法のようにサイバー犯罪者を、自身の環境から追い出すことはできない。

現在、業界の真の盲点は、脆弱性がコードベースに入り込んでから、その脆弱性が公表されるまでの期間にある。一般的に業界では、ゼロデイ脆弱性とは、公開されてからパッチが利用可能になるまでの期間を指すと考えられている (以下のタイムラインの T1)。Log4Shellに関連するパッチ騒動からも明らかなように、必要なパッチが適用される前に、犯罪者はゼロデイ脆弱性を利用して、システムにアクセスしようと競い合う。


ゼロデイについては、脆弱性がコードベースに侵入した時期という観点から、考える必要がある。つまり、タイムラインの T3 であり、つまり、もっと長い期間のことである。この期間は、脆弱性が存在していても、ホワイトハット・ハッカーたちが、まだ気づいていない未知の攻撃の時期である。この期間にサイバー攻撃者は、脆弱性を悪用してバックドアを作り、データ流出やランサムウェア実行などにより、標的システムを危険にさらすことが可能である。T3 の期間においてハッカーたちは、将来の攻撃に備えているケースがあり、また、すでに攻撃が行われているケースがある。つまり、顧客のビジネスに最大の混乱をもたらし、目的を達成する可能性が最大になるまで、ステルス状態から抜け出さずにいる。

重点的に取り組むべき課題

ソフトウェア業界が Log4j に対応するためには、3つの重要な課題がある。

  1. 脆弱性自体が存在する限り、顧客はリスクにさらされている。
  2. パッチ適用に時間がかかる。具体的には、パッチ適用が複雑であり、また、パッチ適用の時期や方法に影響する依存関係がある。さらには、パッチ自体が不適切だという可能性もある。パッチが完璧になるまで (時間がかかる)、リスクを抱え続けることになる。
  3. 攻撃を防ぎ、セキュリティ・ホールを塞ぐために、できることは限られている。そのため、バックドアや侵害の指標を発見するための、検出と応答に焦点を当てる必要がある。

    Log4j の脆弱性により、自身の環境をハッキングから防ぐために何をすべきか、また、この脆弱性により進行している攻撃を、どのように検知するかについては、膨大な情報が存在する。それらは、すべて有益で価値のある情報だが、Log4j 脆弱性の悪用により、あなたの組織が既にハッキングされているかどうかを、確認するために何をすべきかという問題を見逃している。

結論

サイバー犯罪者たちは、この Log4j の脆弱性を最大限に利用している。多くの組織にとって、現在のパッチ適用には複雑さがあるいう事実と、長期間にわたって脆弱性を抱えている可能性があるという事実があるが、迅速かつ慎重にパッチを適用することは重要である。そして、最も重要なことは、攻撃されることを想定することだ。その可能性に備えるために時間を費やすことで、回復力が高まり、攻撃者が開いたバックドアを利用した場合の、影響の深刻さを軽減することが可能となる。

2022年も2月に入り、Log4Shell の存在が明らかになってから 50日ほどが過ぎました。この間、さぞかし忙しい思いをしただろうけど、攻撃者たちは 50日以上の時間枠の中で動いていたと考えるべきというのが、この記事の主題です。そして、これから先は、パッチの適用に注力するのではなく、いつ起きるかもしれない攻撃に備えて、対策を講じるべきだと述べています。昨年末に作った Log4j 関連のまとめページには、すでに 40本くらいのリンクを貼っています。なにかのお役に立つはずなので、ぜひ ご利用ください。

%d bloggers like this: