悪用が続くLog4Shell

昨年末に発見された脆弱性「Log4Shell」は、引き続き攻撃者の標的となっています。

2021年12月に発見されたLog4Shell(CVE-2021-44228)は、その年を代表する脆弱性として、たちまち悪名を馳せました。Apache Foundationは発見後まもなくパッチをリリースしましたが、この脆弱性は依然として個人や組織にとって大きな脅威となっています。

Log4Shellはリモートコード実行(RCE)の脆弱性で、CVSSスコアは10点満点中10点となっています。サーバー上で悪用された場合、攻撃者が任意のコードを実行し、システムの制御を握る可能性があります。標的のシステムを完全に掌握できるだけでなく、悪用が容易であるため、サイバー犯罪者にとってこの脆弱性は非常に魅力的です。

Log4Shell悪用の試みの現状

昨年12月に初めて報告されて以降、カスペルスキー製品は、Log4Shellの脆弱性をターゲットにデバイスをスキャンして攻撃を仕掛ける試み154,098件を検知および阻止しました。攻撃を受けたシステムのほとんどは、ロシア(13%)、ブラジル(8.97%)、米国(7.36%)内にあるシステムでした(日本は0.83%)。

CVE-2021-44228に対しては、すでにApache Foundationからパッチがリリースされていますが、ベンダーがソフトウェアをアップデートするのには数週間〜数ヶ月を要します。Kasperskyのエキスパートは、Log4Shellを悪用するために攻撃者が広範なスキャンを続けているのを観測しています。1月に入ってから3週間の間に、カスペルスキー製品は、Log4Shellの脆弱性を狙った攻撃の試みを30,562件ブロックしました。このうち約40%は、最初の5日間(1月1日〜5日)に検知されています。

Log4Shellに対するスキャンの数(2022年1月1日〜20日)

Log4Shellに対するスキャンの数(2022年1月1日〜20日)

Log4Shellを利用したスキャンや攻撃の試みは、脆弱性発見当初の数週間に比べ、確かに減少しています。しかし、この脆弱性を悪用する試みは今後も続くでしょう。当社のテレメトリデータが示すように、サイバー犯罪者は大規模なスキャン活動を継続し、悪用可能なコードを利用しようとしています。Kasperskyのセキュリティエキスパート、エフゲニー・ロパティン(Evgeny Lopatin)は次のように述べています。「この脆弱性は、特定の組織を標的とした高度な攻撃者と、単純に脆弱なシステムを探して攻撃する日和見主義者の両方によって悪用されています。まだパッチを適用していない方には、パッチの適用と、強力なセキュリティソリューションの使用を推奨します」。

カスペルスキー製品は、この脆弱性を悪用する攻撃(PoCを含む)を、以下の検知名で検知およびブロックします。

  • UMIDS:Intrusion.Generic.CVE-2021-44228
  • PDM:Exploit.Win32.Generic

対策

当社からは以下の対策を推奨します。

  • 最新版のライブラリをインストールする。Apache Log4jプロジェクトのページ(英語)からダウンロードできます。サードパーティ製ライブラリを使用している場合は、ベンダーからアップデートが出ていないかを確認し、アップデートが公開され次第、タイムリーにインストールする必要があります。
  • Apache Log4jプロジェクトのガイドライン(英語)に従う。
  • 企業の場合、脆弱性攻撃対策およびパッチ管理システムを備えた、Kaspersky Endpoint Security for Businessのようなセキュリティソリューションを使用する。当社の脆弱性攻撃対策機能は、アプリケーション上での不審な動作を監視し、悪意あるファイルの実行をブロックします。
  • 攻撃者が最終目的に到達する前の初期段階で攻撃を特定して阻止できるように、Kaspersky Endpoint Detection and Responseのようなソリューションを導入する。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?