2021年11月にJavaのロギングライブラリ「Apache Log4j(以下Log4j)」に深刻な脆弱性、通称「Log4Shell」が発見された。Log4jはログ出力などを目的に利用されるライブラリで多くのIT製品に組み込まれていることから、Log4Shellを悪用した攻撃によるセキュリティ事故の増加が懸念された。しかし、早期にLog4jのアップデートが行われたことなどから、現時点では、国内で目立った事故は確認されていない。最悪の事態は免れているものの、セキュリティベンダーは、今回の騒動で国内企業の関心の低さや対応の遅れが明らかになったと指摘し、対策の強化を促している。
(取材・文/岩田晃久)

目立った被害は確認されず

 Log4jは、Webアプリケーションサーバーやデータベース、セキュリティ製品、クラウドサービスなど多くのIT製品で利用されている。ユーザーは最初からLog4jが組み込まれている状態で製品を利用していることから、社内システムでどれだけLog4jが使用されているのか把握できないケースが大半だった。

 Log4Shellが危険視された理由として、リモートから悪意のあるコードを実行できることが挙げられる。そのため、多くの企業の社内システムに点在するLog4jに対し、攻撃者が容易に攻撃を仕掛けることができるとされた。実際、共通脆弱性評価システム「CVSS」で、Log4Shellの深刻度が基準値最大の10.0に設定されたことからも、近年まれに見る高リスクの脆弱性だということが分かる。

 海外では、Log4Shellが発見された直後、ランサムウェア攻撃や認証情報の搾取といった攻撃が確認された。国内でもセキュリティインシデントの発生が懸念されたが、情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT)は、ともに「現時点では国内でLog4jの脆弱性が原因とされる攻撃被害の報告や相談は受けていない」と語る。

 その要因として、Log4Shellが発見された後、すぐにJavaから修正版がリリースされたことが大きい。このバージョンアップにより、攻撃者が用意した任意のJavaコードの実行をいったんは阻止できるようになった。その後、さらなる脆弱性が明らかになったものの、都度バージョンアップを実施し対応を強化した。大々的に報道されたことで、ユーザーがいち早くこのバージョンアップを実行したことも被害の拡大を食い止めた要因として考えられる。

 だが、JPCERTは「Log4jの一連の脆弱性は、攻撃手法によってはシステムに侵入してからユーザーが気づくまで、ある程度の時間を要する場合があると想定される。何か被害が生じた際に、それがLog4jの脆弱性に起因するものだったのか否か、判然としないケースもある。今後、時間の経過とともに被害が発覚する可能性もあるのではないか」としている。