A year later, Log4Shell still lingers
2022/11/30 HelpNetSecurity — 2022年10月1日時点で、72% の組織が Log4Shell の脆弱性に対して依然として脆弱であることが、5億回以上のテストから収集したデータを基にした、Tenable の最新のテレメトリ調査により明らかになった。2021年12月に Log4Shell が発見された当時、世界中の組織は、そのリスクの調査に奔走していた。
Log4Shell の発見から数週間のうちに、組織はリソースを大幅に再配分し、その脆弱性の特定と対策に何万時間もの時間を投入した。ある連邦内閣府は、Log4j の脆弱性対応だけで、セキュリティ・チームは 33,000 時間を費やしたと報告している。
根絶が困難な脆弱性
Tenable のテレメトリ調査により、2021年12月の時点では、全資産の 10% ほどが、Log4Shell に対して脆弱であることが判明していた。それらの資産に含まれるのは、デスクトップ PC/ノート PC/サーバ/ストレージ・デバイス/ネットワーク・デバイス/電話/タブレット/仮想マシン/Web アプリケーション/IoT デバイス・クラウドインスタンス/コンテナなどである。
2022年10月時点では、この脆弱性を持つ資産が 2.5% にまで減っており、改善が認められる。しかし、それらの資産の約 29% では、完全な修復を達成した後に、Log4Shell が再検出されている。
Tenable の Chief Security Officer である Bob Huber は、「これだけ蔓延している脆弱性を完全に是正することは極めて難しく、また、脆弱性の是正が1回では完了しないことを念頭に置いておく必要がある。ある時点で完全に修復されたとしても、その環境に新しい資産を追加していくと、Log4Shell に何度も遭遇する可能性がある。Log4Shell を根絶するためには、この脆弱性の有無に関して、継続的に環境を評価することが不可欠だ」と述べている。
その他の主要な調査結果
- 2022年10月1日時点で、全世界の 28% の組織が Log4Shell を完全に是正しており、2022年5月から 14 ポイント改善された。
- 調査期間中、53% の組織が Log4j の脆弱性のリスクに晒されていた。つまり、Log4j が広く蔓延していること、そして、過去に完全な修復が成された場合でも、修復のための継続的な取り組みが必要であることが明示されている。
- 2022年10月時点で、脆弱性のある資産の 29%において、完全な修復が成された後に Log4Shell が再検出されている。
- 一部の業界は、他の業界よりも状況が良い。具体的に言うと、エンジニアリング (45%) /リーガル・サービス (38%) /金融 (35%) /非営利 (33%) /政府 (30%) の分野では、多くの組織で修復が完了している。また、CISA で定義された主要インフラ組織に関しては、約 28% で完全に修復されている。
- 北米の組織では、28% が Log4j を完全に修復されている。そこに続くのは、ヨーロッパ/中東/アフリカ (27%) /アジア太平洋 (25%)/ラテンアメリカ (21%) となっている。
- 同様に、部分的に修復が達成されいてる組織の割合は、北米がトップであり (90%)/ヨーロッパ・中東・ (85%)/アジア太平洋 (85%)/ラテンアメリカ (81%) となっている。
この調査結果は、大半のデータ侵害における根本的な原因である、レガシー脆弱性の修復の課題を浮き彫りにしている。
そろそろ発見から1年となる、Log4j の脆弱性ですが、依然として残存しているという調査結果です。ソフトウェア資産の 2.5% に残存していると、ユーザー組織の 72% が脆弱な状態を引きずるという、Log4j の広がりが明らかにされています。また、文中の表現で気になるのは、「資産の約 29% では、完全な修復を達成した後に、Log4Shell が再検出」という部分です。おそらく、その後にインストール/アップデートしたソフトウェアに、古い Log4j が含まれていたということなのでしょう。7月14日の「Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する」には、10年以上にわたってセキュリティ・リスクをもたらす風土病のようなものになると記されていましたが、その意味が、なんとなく分かるような気がします。よろしければ、Log4j ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.