Javaのロギングライブラリ「Apache Log4j（以下Log4j）」に深刻な脆弱性、通称「Log4Shell」が発見されたことで、この1カ月あまり混乱が続いている。Log4jはログ出力などを目的に利用されるライブラリで、多くのベンダーが製品開発の際に組み込んでいる。攻撃者はLog4Shellを利用することで、リモートから悪意のあるコードを容易に実行できるとされており、既に海外を中心に被害が発生している。各ベンダーも製品のアップデートなど早急な対応を行っているが、膨大な数の製品が対象となることから、今後事態のさらなる深刻化も懸念される。
（岩田晃久）

　Log4jはWebアプリケーションサーバーやデータベース、セキュリティ製品、クラウドサービス、IoTデバイスなど、多くのIT製品の開発で利用されている。ユーザーは最初からLog4jが組み込まれている状態で製品を利用していることから、社内システムでどれだけLog4jが使用されているのか把握できていないケースが大半だ。

　Log4Shellが確認されたのは2021年11月24日で、その後12月6日にバージョンアップを行った「2.15.0」がリリースされたが、さらなる脆弱性が明らかになり、再度のバージョンアップが実施された。22年1月5日時点では「2.17.1」が最新バージョンとなっている。

　ITベンダーも対応に追われている。マイクロソフト、AWS、グーグル、IBMなど大手ベンダーでも自社の製品やサービスで影響が出たことから、随時、製品のアップデートやパッチ提供を行っている。

　海外ではLog4Shellを悪用した攻撃が既に多く確認されているという。Log4Shellに関するセミナーを開催したパロアルトネットワークスは、ランサムウェア攻撃、認証情報の搾取、仮想通貨採掘を目的とする「コインマイナー」の活動などのほか、IoT機器にワームを感染させボットネットの一部として攻撃を行っているといった被害も明らかになったとしている。

　情報処理推進機構（IPA）は、国内でも「Log4Shellを悪用した攻撃を観測されたとの情報がある」として、被害が拡大する恐れがあると指摘した。

　では、ユーザーはどういった対応をするべきなのか。まずは利用している製品やサービスにLog4jがどれだけ組み込まれているのか、攻撃を受けた際にどこまで影響が出るのかを把握しなければならない。そして、各ベンダーが提供する最新バージョンへのアップデートを実施するのが必須だ。

　一方で、Log4jが使用されている製品が社内のどこで稼働しているのかを把握するのが難しいという課題もある。多種多様な製品に組み込まれていることもあり、エンドポイント端末やネットワーク機器、サーバー、アプリケーションを一つ一つ調べ特定するには時間が掛かる。

　セキュリティベンダーは、このような課題を解決するためのツールの提供も開始している。トレンドマイクロでは「Log4Shell診断ツール」として、Log4Shellの影響を受ける可能性のあるエンドポイントとWebアプリケーションを特定し、攻撃対象領域の詳細を即座に可視化してリスク軽減の措置を案内するという。また、クラウドストライクでは「JAR」「WAR」「EAR」「ZIP」形式のファイルをスキャンし、システムにLog4jが内在するか探索できる無料ツールを提供している。

　アップデートを実施するまでの間にLog4Shellを悪用した攻撃を受ける可能性も高いことから、システムの精査と並行して防御策を強化し、被害リスクを低減させる必要もある。次世代ファイアウォールやIPS・IDSによるゲートウェイセキュリティの強化、WAFを活用したWebアプリケーションの保護など基本的な対策に加えて、EDR（Endpoint Detection and Response）やNDR（Network Detection and Response）を活用して攻撃をすぐに検知できる体制を整えることも有効とされる。

　共通脆弱性評価システムの「CVSS」においてLog4Shellの深刻度が基準値最大の10.0に設定されていることからも、近年まれに見る高リスクの脆弱性だということが分かる。まだ発見されて日が浅く、今後、新たな被害が明らかになる可能性も高い。