世界中を揺るがすJavaライブラリのゼロデイ脆弱性「Log4Shell」を突く攻撃は発覚前からすでに始まっていた

2021年12月14日 10時53分

Javaのログ出力ライブラリであるApache Log4jでゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」について、概念実証コードが日本時間の2021年12月10日に公開されました。このLive4Shellを突いてリモートコード実行を可能にするエクスプロイトの確認報告がさまざまなところで挙がっていますが、このLog4Shellエクスプロイトが概念実証コード公開前の12月1日から2日にかけて行われていたことが判明しました。

Log4Shell attacks began two weeks ago, Cisco and Cloudflare say - The Record by Recorded Future

https://therecord.media/log4shell-attacks-began-two-weeks-ago-cisco-and-cloudflare-say/

Log4ShellはLog4jに含まれるJNDI Lookupという機能によるもので、「細工した文字列を送信してログとして記録させることで、任意のLDAPサーバーにあるclassファイルをロードさせることが可能になる」というゼロデイ脆弱性です。これを悪用することで、Log4jを利用しているプログラムに任意のコードを実行させることが可能となります。

JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか？ - GIGAZINE

すでにこのLog4Shellを突くエクスプロイトの報告は大量に挙がっており、暗号資産マイナーのインストールやボットネットの拡散、サーバーのOSやユーザー情報のスキャンなど、枚挙に暇がありません。

Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、暗号資産マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題 - GIGAZINE

CDNサービス企業であるCloudflareのマシュー・プリンスCEOによれば、これまでで一番最初にLog4Shellエクスプロイトが実行された記録が協定世界時の2021年12月1日4時36分50秒だったとのこと。プリンスCEOは、12月10日に概念実証コードが公開されるまでは、エクスプロイトが大量に行われていた様子はなかったとしています。しかし、概念実証コードが公開される9日前にLog4Shellを把握していた者が存在していたことになります。

Earliest evidence we’ve found so far of #Log4J exploit is 2021-12-01 04:36:50 UTC. That suggests it was in the wild at least 9 days before publicly disclosed. However, don’t see evidence of mass exploitation until after public disclosure.— Matthew Prince ???? (@eastdakota) December 11, 2021

また、ネットワーク脅威の専門家集団であるCisco Talosは「私たちは2021年12月2日からCVE-2021-44228(Log4Shell)に関連する攻撃者の活動を確認していますが、未検証の報告によれば、脅威活動自体は12月1日にもあったようです。企業や組織は、攻撃がもっと前から行われていた可能性を考慮し、少なくとも数週間前までさかのぼって分析範囲を拡大することを強くおすすめします」と述べています。

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Threat Advisory: Critical Apache Log4j vulnerability being exploited in the wild

https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html

Log4jライブラリは非常に広く使用されているため、Log4Shellの与える影響は甚大。すでにApacheは脆弱性を修正したバージョン2.15.0を公開していますが、JAVA実行環境によってはアップデートができない場合もあるため、解決には時間がかかるといえます。なお、脅威インテリジェンスサービス「Kryptos Logic」は、Log4Shellチェッカーをかけた結果、脆弱なホストが1万件以上見つかったと報告しています。

Kryptos Logic's log4j (CVE-2021-44228) scanner discovered more than 10,000 vulnerable host using simple HTTP header probing. As always, you can register for free vulnerability notification on https://t.co/kiZvKnnMXv. https://t.co/QnkGnp9SCx pic.twitter.com/g18eF2JsGm— Marcus Hutchins (@MalwareTechBlog) December 12, 2021

また、IPAやJPCERT/CCも日本国内におけるLog4Shellの悪用を試みる通信を確認したと述べており、すみやかにLog4jのバージョンアップや回避策の適用を検討することを推奨しています。

Apache Log4j の脆弱性対策について(CVE-2021-44228)：IPA 独立行政法人情報処理推進機構

https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起

https://www.jpcert.or.jp/at/2021/at210050.html