2021年12月14日、MicrosoftがJavaのLog4jライブラリに存在していたリモートコード実行を可能にするゼロデイ脆弱性「Log4Shell」が中国・イラン・北朝鮮・トルコに関連する政府系ハッキンググループによって用いられることを確認したと発表しました。さらに同日にはアメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が行政各省に対してLog4Shellの修正パッチを12月24日までに適用するように通達を出しました。

Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation - Microsoft Security Blog

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

CISA tells US federal agencies to mitigate Log4j by Dec 24 • The Register

https://www.theregister.com/2021/12/15/log4j_latest_cisa/

Hackers Backed by China Seen Exploiting Security Flaw in Internet Software - WSJ

https://www.wsj.com/articles/hackers-backed-by-china-seen-exploiting-security-flaw-in-internet-software-11639574405

Log4ShellはJavaのログ出力ライブラリ「Apache Log4j」に発見された脆弱性。Apache Log4jは広く利用されていることからLog4Shellは過去に類を見ないほどのレベルで各方面に深刻な影響を与えるとみられており、セキュリティ関連組織や報道機関が2021年12月10日に公開された修正パッチを適用するように広く警告を発しています。

JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか? - GIGAZINE



このLog4Shellに関して、Microsoftが新たに「中国・イラン・北朝鮮・トルコ政府系ハッキンググループがLog4Shellを突いた攻撃を行っていると確認した」と発表しました。発表の中で例示として挙げられているのはイランのランサムウェア攻撃グループ「PHOSPHORUS」と中国のハッキンググループ「HAFNIUM」で、PHOSPHORUSはLog4Shellエクスプロイトを取得して攻撃用に改変を行っており、HAFNIUMはLog4Shellを突いてフィンガープリントシステムの試験に関連するDNSサービスに対する攻撃を行っているとのこと。これらの攻撃は、Microsoftの脅威インテリジェンスセンター(MSTIC)、Microsoft 365 Defender脅威インテリジェンスチーム、検知&レスポンスチーム(DART)並びに、カリフォルニア州のサイバーセキュリティ企業RiskIQによって検出・追跡が行われました。

これに対して在ワシントン中国大使館の報道官は「中国政府はあらゆる種類のサイバー攻撃に反対しており、Log4Shellを最初に報告したのは中国のセキュリティチームだった」と回答したと報じられています。

一連の問題に対し、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は12月14日付けでLog4Shell専用ページを開設。Log4Shellの影響を受けているとみられるソフトウェアベンダーの一覧などの情報を随時更新して掲載しています。

Apache Log4j Vulnerability Guidance | CISA

https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance



このページの中で、CISAは「拘束力を有する運用指令22-01に従い、連邦民間行政機関は2021年12月24日までにCVE-2021-44228(Log4Shell)を緩和しなければなりません」と記述。行政各省に対してLog4Shellの修正パッチを適用する期限を定めました。