「Apache Log4j」の脆弱性、3万5000超のJavaパッケージに影響の恐れ--グーグル調査

 Javaのログ出力ライブラリー「Apache Log4j」に存在する深刻な脆弱性に関する話題が続いている。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は先週、米連邦政府機関に対し、米国時間12月24日までにLog4jの脆弱性など複数の脆弱性にパッチを適用するよう命じたが、17日には、ネットワークに接続されているアセットに存在するLog4jの脆弱性をただちに修正することを米連邦政府機関に対して命じる緊急指令を発表した。複数の脅威アクターが、広く利用されているLog4jの脆弱性を活発に悪用している事態に対応するためだという。また先週頃から、IBM、Cisco、VMWareなどをはじめとする複数の大手テック企業が、それぞれの製品でLog4jの脆弱性への対応を急いだ。

 セキュリティ企業のBlumiraは、PCやローカルネットワーク上でlisten状態にあるサーバーを狙って攻撃を仕掛けるという、Log4j関連の新たな攻撃ベクターを発見したと主張しており、この問題が脆弱性を抱えた公開サーバーに対してのみ影響を与えるという仮定が成立しなくなる可能性に言及している。

 セキュリティ企業Advanced Intelligenceは、「Conti」などのランサムウェアグループがLog4jの脆弱性を悪用する手段を模索していることが分かったと報告している。

 Googleは17日、Open Source Insights TeamのメンバーであるJames Wetter氏とNicky Ringland氏が「Maven Central」リポジトリーから利用できるJavaアーティファクトを対象に調査したところ、影響のあるLog4jに依存しているものが3万5863件見つかったとするセキュリティレポートを公開した。両氏によると、この数字はMaven Centralに登録されている全パッケージのうち、8%超に今回の脆弱性の影響を受けるバージョンが少なくとも1つあることを意味しているという。

「Apache Log4j」の脆弱性、3万5000超のJavaパッケージに影響の恐れ--グーグル調査

 両氏は、「エコシステムへの影響が8%というのは非常に大きな値だ。Maven Centralに影響を及ぼすアドバイザリーのうち、その対象となるエコシステムの平均値は2%で、その中央値は0.1%未満でしかない」と述べた。

 本校執筆時点で、パッチは5000近くのアーティファクトに適用されているが、まだ3万以上が適用されていないままとなっているようだ。しかし両氏は、Log4jは製品の奥深くに埋め込まれている場合もあるため、この問題への対処は難しいだろうと指摘する。両氏は、「log4jに依存するほとんどのアーティファクトは、間接的に依存している。依存チェーンにおいて脆弱性が深刻であるほど、修正に必要とされるステップが多くなる」と述べている。

提供:Google

 両氏によると、Mavenパッケージに影響する、一般公開されている重要なアドバイザリーをすべて確認し、ある脆弱性の影響を受けたアーティファクトの半分以下(48%)が修正されていることが分かったという。つまり、Log4jの問題が解消されるまでに数年を要する可能性もあるとしている。

 また、Apache Software Foundation(ASF)は17日、Log4jの新たなバージョン「2.17.0」をリリースした。12月14日にリリースされた1つ前のバージョン「2.16.0」のリリース後に発覚した問題に対処するものだ。

 ASFは、2.16.0では「リソースのルックアップ時における無限再帰を完全には防げない」とし、サービス拒否(DoS)攻撃につながる脆弱性「CVE-2021-45105」を抱えていると説明した。この脆弱性は共通脆弱性評価システム(CVSS)のスコアが7.5で、深刻度は「重要」となっている。CVE-2021-45105の影響を受けるのはlog4j-core JARファイルのみだという。ASFは問題の詳細や緩和策などを紹介している。

 セキュリティリサーチャーらは17日より、2.16.0の潜在的な問題について話題にしており、一部のリサーチャーらはDoS攻撃につながる脆弱性が存在していると主張していた。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。