Log4j 調査：回答した組織の 61％ が攻撃を受けている

Security leaders want legal action for failing to patch for Log4j

2022/03/02 HelpNetSecurity — 昨年末に発見された Java ロギング・パッケージ Log4j の脆弱性は、世界中のセキュリティ専門家の頭痛の種となっている。2022年1月に実施された Neustar International Security Council (NISC) の調査に回答した組織の 61％ が、この脆弱性を標的とする攻撃を受けたことがあると回答している。さらに、回答者の 75％ が Log4j の影響を受けたと答え、21％ が深刻な影響を受けたと述べている。

セキュリティ専門家のオープンソースに対する信頼が Log4j の脆弱性により低下

Log4j の影響として多かったものとしては、IT およびセキュリティのチームが休暇中にリスクを評価し、インフラとデータを保護するための重要な変更を行う必要があったこと (52%)、次いでソフトウェア・サプライチェーンのセキュリティ慣行の再評価 (45%)、ソフトウェアの購入決定 (44%) となっている。また、回答者の多くが、既存ベンダーとの関係を見直すようになった (35%) や、脆弱性のためにオープンソース・ツールへの信頼が低下した (34%) と回答している。

回答者の 87% は、Log4j がもたらすサイバーリスクのレベルを考えると、この欠陥にパッチを当てなかった組織に対して、政府規制機関は法的措置を取るべきだと述べている。あるセキュリティ専門家の言葉を借りれば、「それらの組織は、重要な顧客データを安全に保護することができないかもしれない」ということだ。また、誰もが危険にさらされる、および、顧客データがディスティネーションは制御できるはず、この問題に対処できる規模の会社は対応が必要、一連の緩和策を連邦政府は実施すべきといった、意見もあった。

Neustar Security Services の SVP of solutions である Carlos Morales は、「Log4jの脅威のニュースは、世界中のセキュリティとアプリケーションのチームを混乱させた。インターネットに面したシステムのインベントリを取り、Log4j をチェックし、リビジョン・レベルを確認し、緊急パッチを適用した。多くの組織は、ビジネス・パートナーやベンダーに連絡を取り、潜在的な暴露を評価するという適切な予防措置を取ったが、このインシデントが発生したタイミングは、修復を困難にした」と述べている。

仮想パッチによるゼロデイ脅威への対応

Web Application Firewall (WAF) 技術を導入している企業や、クラウド・セキュリティ・プロバイダーの WAF 機能を採用している企業にとっては、Log4j のようなゼロデイ脅威に対処するためのシンプルなソリューションがある。

Carlos Morales は、「仮想パッチは、潜在的な攻撃者に対して、そのアプリケーションが脅威に対して脆弱でないと思わせることができる。WAF ソリューションは、Web アプリケーションのトラフィックとインラインで展開され、アプリケーションのクライアントとオリジン・サーバーの間でリバース・プロキシとして機能する。WAF は、クライアントとの接続を終了させ、クライアントが悪意の行為を行っていないことを確認した上で、サーバーとの接続を別途作成し、両者間のデータの橋渡しを行う。WAF はクライアントのトラフィックを終了させるため、オリジン・サーバーの代わりに動作し、サーバーに存在する脆弱性をカバーできる。仮想パッチは、そのための手段の一つだ」と述べている。

調査対象のセキュリティ専門家に、2021年11月〜12月という報告期間中における、Log4j 以外の最も懸念されることについて質問した。分散型サービス妨害 (DDoS) については回答者の 21％ が最大の懸念事項として挙げ、ランサムウェアとシステム侵害 (ともに18％) が、それに続いた。

報告期間中に増加すると認識された脅威の中で、ランサムウェア／DDoS 攻撃／標的型ハッキングは、最も多いものとなった。この期間中に、組織が最も対応能力を重視すべきとした脅威は、ベンダーや顧客のなりすまし、および、標的型ハッキング、ランサムウェアなどとなった。

調査参加者の最大の関心事である DDoS攻撃 について、さらに詳しく見てみると、84% の企業が DDoS 攻撃を受けたことがあること判明した。回答した企業の 57% は、DDoS 攻撃の緩和策をアウトソーシングしていると回答し、60% は緩和を開始するまでに１分〜５分かかると回答している。

このところ、2月15日の「Google Cloud と Log4Shell：ピーク時のスキャン数は 40万件／日」や、3月2日の「Log4j の問題は続いている：日本での悪用率は世界の 10% に達している」といったふうに、Log4j に関するレポートベースの記事が提供されています。そして、第三段となる今日の記事は、NISC の Extent to which organization has been impacted by Log4j vulnerability を元データにしているようです。いくつかのグラフを用いて、Log4j 問題の今を伝えてくれます。