Log4j 悪用のリスクは予測値ほど高くない:保険会社 MGA の視点とは?

Log4j exploitation risk is not as high as first thought, cyber MGA says

2022/02/11 HelpNetSecurity — 2021年12月に Log4Shell の脆弱性 (CVE-2021-44228) が公表されたとき、CISA の Director である Jen Easterly は、自身の数十年のキャリアの中で見てきた最も深刻な脆弱性であり、対策には何年もかかる可能性があると述べた。それは真実である。この欠陥は、熟練していない攻撃者であっても、リモートから悪用できるオープンソース・ライブラリに存在している。そして、脆弱なバージョンは随所で利用され、いまだにダウンロードされている。

この脆弱性を利用する攻撃者たちは、世界中のシステムを危険にさらし、クリプト・マイナーやランサムウェアを配信し、将来の攻撃のために持続的なアクセスを確立しようとしている。しかし、Managing General Agent (MGA) At-Bay の CEO である Rotem Iram によると、Log4j の悪用リスクは、当初考えられていたほど高くはないとのことだ。

Log4j の悪用リスクの判断

At-Bay は、自社のポートフォリオに含まれる、中堅企業 13,000 社以上の保険対象と、保険加入依頼を提出した企業をスキャンした結果、ネットワーク境界外の攻撃者からの Log4Shell の悪用に対して脆弱な企業は、ごくわずかであることを発見した。

Iram は、「保険会社の MGA としては、より多くの組織の、より多くのリスクを軽減することに関心がある。中堅企業のマーケットでは、サイバー犯罪者は特定の組織を狙っているわけではなく、インターネット全体をスキャンして、深刻な脆弱性を見つけ出した企業を攻撃している。そのため、Log4j がもたらすリスクを検討する際には、Log4j を悪用しようとする攻撃者によって、どれだけ多くの組織が特定され、悪用される可能性があるかを考える」と述べている。その結果、中堅企業の 0.5% が脆弱であることが分かった。

そのほかにも、次のようなことが分かってきた。

  • 組織の規模が大きくなればなるほど、保有しているテクノロジーの規模も大きくなり、外部からのスキャンにより、脆弱性が発見される可能性も高くなる。
  • 最も脆弱な製品の Top-3は、Ubiquiti Unifi/VMWare Horizon/MobileIronである。
  • 教育サービス (学校/大学) と、情報産業 (出版社/放送局/通信事業者) が最もリスクの高い産業である。

    しかし、最も重要なことは、これらの中堅企業における Log4Shell の暴露率だが、 EternalBlue と ProxyLogon の欠陥のケースの方が大きく、RDP の不正アクセスに対する暴露率はさらに大きいということも分かった。


Iram は、「Log4j が存在する脆弱なシステムの修復は非常に重要だが、他の一般的な攻撃手段から目をそらしてはいけない。RDP は、依然としてランサムウェア事件の主要な原因であり、全攻撃の約 50% を占めており、この状況が直ぐに変化するとは思えない。中堅企業のケースでは、ハッカーが Log4j の脆弱性を利用して攻撃できるターゲットの数が比較的少ないため、サイバー犯罪者にとってはチャンスが少なく、これまでに侵害の報告がほとんどないのも納得できる」と述べている。

その他の検討事項

Iram は Help Net Security に対して、「当社の顧客は全て米国を拠点としており、特定のセグメントに過度に集中しているわけではない。スキャンした企業の総数 (約13,000社) と合わせて考えると、このデータは市場を適切に表していると思う」と述べている。

また、同社のスキャナーは、現時点で悪用が可能な、すべての製品と構成に焦点を当てており、ある製品が古い log4j バージョンを使用していても、その製品を悪用する方法が知られていない場合は、「悪用が確認された」とはみなさないと述べている。

さらに、攻撃者が別の手段 (フィッシング・メールなど) でアクセスを獲得し、組織内を横に移動している場合には、内部の脆弱な製品を利用して、さらに前進する可能性があると指摘している。

Iram は、「中規模マーケットを狙う攻撃者は、組織を狙うのではなく、簡単に見つけられる脆弱性を利用する。その出発点をベースに攻撃をデザインし、他の洗練されていない攻撃者に対して、RaaS のツールとして販売することで規模を拡大していく」と述べている

さらに彼は、「これらの攻撃者は、あらゆる IP アドレスをスキャンして脆弱な資産を探し、収益の高い企業に属する資産を優先的に攻撃する。つまり、0.5% の中堅企業が攻撃者のレーダーに引っかかる可能性を認識していることは、その後に発生するかもしれない攻撃の規模を知る上で重要であり、また、これらの企業が標的にされる前に、問題を解決できるよう支援することができる。このアプローチにより、報告されている平均値と比較して、ランサムウェアのケースを 20% 以下に減らすことができた」と指摘している。

なかなか興味深い視点ですね。保険という業務を考えるなら、こういう結論に至るのが当然ですし、その他の危険な脅威に目を向けるべきという指摘にも納得です。ただ、今回の Log4Shell に関しては、2月2日の「Log4j 脆弱性へのパッチ適用:もう遅いのか?その前に考えるべきことは?」や、2月4日の「Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ」といった、多岐にわたる論点が提供されていて、考えるべきことが山積みという感じがします。

%d bloggers like this: