Log4j の問題は続いている:日本での悪用率は世界の 10% に達している

Log4shell exploits now used mostly for DDoS botnets, cryptominers

2022/03/02 BleepingComputer — Log4j ソフトウェアの Log4Shell 脆弱性は、今日でも広く悪用されており、脅威アクターによる様々なマルウェア・ペイロード展開に利用されているが、そこには、DDoS ボットネット・デバイスへの取り込みや、クリプトマイナーの埋め込みなどもある。Barracuda のレポートによると、この数ヶ月のおいて、Log4Shell を標的とする動きは乱高下しているが、悪用の試行量は比較的一定している。これらの攻撃を分析した Barracuda は、大半の悪用の試みが米国ベースの IP アドレスから発生し、それに続いて、日本/中央ヨーロッパ/ロシアなどが悪用されている状況を確認している。

Attacker IPs heatmap
Attacker IPs heatmap (Barracuda)


2021年12月に、Log4j の Ver 2.14.1 以前のすべてのバージョンで、深刻なゼロデイ・リモートコード実行の脆弱性 CVE-2021-44228 が発見され、研究者たちは Log4Shell を名付けた。

Log4j の開発元である Apache は Ver 2.15.0 をリリースし、この問題の解決を試みた。しかし、その後の新たな脆弱性の発見やセキュリティ・ギャップなどにより、年末にリリースした Ver 2.17.1 で全ての問題が対処されるまで、パッチ適用競争が続いた。ただし、Barracuda によると、このログフレームワークの旧バージョンが、数多くのシステムで利用され続けているため、悪用されやすい状態になっているとのことだ。

DDoS とマイニングのための悪用

バラクーダの研究者たちは、脆弱な Jog4j を対象とした様々なペイロードを見つけ出しているが、現時点では Mirai ボットネットの派生物が大部分を占めているようだ。
Mirai マルウェアは、一般的なネットワークカメラやルーターなどのデバイスを標的とし、それらを遠隔操作ボットネットに参加させる。それらのボットネットを制御する脅威アクターたちは、特定のターゲットに対して DDoS 攻撃を行い、リソースを枯渇させ、オンライン・サービスを中断させることが可能となる。

Barracuda のレポートが説明するように、Mirai は、さまざまな形態で、また、さまざまなソースから配布されており、あらゆる規模の被害者を対象とする大規模なボットネットを、運営者が構築しようとしていることが示されている。

このような運用の背後にいる脅威のアクターは、兵器化したボットネットを他者に貸与する場合もあれば、企業を恐喝するために自ら DDoS 攻撃を仕掛ける場合もある。最近の Log4j の悪用により投下されたと思われるペイロードは以下の通りとなる。

  • BillGates malware (DDoS)
  • Kinsing (cryptominer)
  • XMRig (cryptominer)
  • Muhstik (DDoS)
Script to set up the miner
Script to set up the miner (Barracuda)


Barracuda のアナリストによると、一般に公開された VMWare インストールを悪用するランサムウェア・ギャングは見られず、すでに侵害したネットワークにおける内部的な脅威として利用されているようだ。たとえば、Conti ランサムウェアは、Log4j エクスプロイトを悪用して、VMware vCenter のインストールにたいする横展開を行っている。

恒久的な脅威

この種の攻撃から身を守るための最も簡単な方法は、Log4j を Ver 2.17.1 以降にアップデートし、すべての Web アプリケーションを最新の状態にしておくことだ。Mirai の標的となったデバイスの大半は、個々のパッケージをアップデートできないため、Log4j の修正を含むアップデートされたファームウェアを確認し、それらを適用する必要がある。

Barracuda の報告では、Log4Shell 攻撃は一定の比率で発生しているが、Sophos は最近の減少を報告している。しかし、すべてのアナリストは、この脅威が残っていることに同意している。

Volume of attacks targeting Log4j
Volume of attacks targeting Log4j (Barracuda)


たとえ脅威アクターの大多数が関心を持たなくなったとしても、一部の脅威アクターは、膨大なインストール数を誇る Log4j の、脆弱なデプロイメントをターゲットにし続けるだろう。ランサムウェア攻撃の標的になりやすい組織が、セキュリティ・アップデートを適用しても、クリプト・マイニングや DDoS が目的のケースにおいては、古いバージョンを実行している放置されたシステムが優れたターゲットとなる。

忘れではならない Log4j の問題です。2月11日の「Log4j 悪用のリスクは予測値ほど高くない:保険会社 MGA の視点とは?」は楽観的な視点を示し、1月22日の「オランダのサイバー・セキュリティ機関が警告:Log4j 脆弱性のリスクは長期化する」は悲観的な視点を示しています。そして、この問題の本質を示す、2月14日の「Log4j 脅威:問題の本質はセキュリティではなくガバナンスにある」のような記事もあります。それにしても、日本の IP アドレスからが 10% というのは、ちょっと多すぎますよね。

%d bloggers like this: