Javaベースのログ出力ライブラリ「Log4j」に深刻な脆弱性 ~WebSphereやWatson Explorerも影響を受ける、クラウドサービスも調査中とIBM。各社も調査・対応中

Javaベースのオープンソース・ログ出力ライブラリとして広く使われている「Apache Log4j」で脆弱性(CVE-2021-44228)が報告され、注意喚起と対策の必要性をIT各社やさまざまな機関が発信している。

IBMからは、WebShpere Appilication ServerやIBM Watson Explorerも影響を受ける、との情報が出されている(12月13日現在)。

Apache Log4jは、Apache Software Foundationが開発したJavaベースのログ出力ライブラリ。ライブラリ中に、書き込まれたログの一部を自動で変数化する「JNDI Lookup」という機能があり、今回はその機能が悪用されている。攻撃者は、JNDI Lookup機能を利用して、外部サーバーから悪意のあるJava Classファイルを攻撃対象サーバーのメモリに読み込ませ、任意のコードを実行するという。脆弱性は、「Log4Shell」「LogJam」とも呼ばれている。

脆弱性の影響を受けるLog4jのバージョンは、2.0-beta9から2.14.1。脆弱性を修正した「Log4j 2.16.0」を、Apache Software Foundationは12月13日に公開した。修正点は、「JNDI機能をデフォルトで無効化」と「Message Lookup機能を削除」の2点(Log4j 2.16.0の公開に伴い、初出記事を変更しました)。

– Apache Log4j 2.16.0

Log4jは、エンタープライズアプリケーションやクラウドサービス、製品などで広く利用されているため、影響は広範囲に及ぶと見られている。システム構築を外部に委託した場合は、SIerへの確認が必要。製品については、どの製品で使われているかユーザーが把握していない場合が多く、「影響は深刻」との見方が広がっている(Apache Software Foundationによる深刻度評価は最高点の10)。VMwareは、38種の製品が影響を受けることを公表している(12月13日現在)。

 影響を受けるVMware製品

JPCERT/CCによると、Log4jの脆弱性を悪用するコードはすでにネット上で公開されており、日本においても脆弱性の悪用を試みる通信を確認しているという。

◎対策・緩和策

JPCERT/CCは対策として、脆弱性を修正したApache Log4j 2.15.0へのすみやかなバージョンアップを推奨している。Log4jを含むアプリケーション/ソフトウェアを利用中の場合は、ベンダー各社が発信する関連情報に注意し、すみやかなアップデートが必要としている。

また、バージョンアップやアップデートをすみやかに行えない場合は、次の3つの回避策を挙げている。

●Log4j 2.10~2.14.1を利用中の場合:以下のいずれかを実施する

・Log4jを実行するJava仮想マシンの起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定する
 例:-Dlog4j2.formatMsgNoLookups=true

・環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定する

●Log4j 2.0-beta9~2.9.1を利用中の場合

・JndiLookupクラスをクラスパスから削除する

●攻撃の影響を軽減するための緩和策

・システムから外部への接続を制限するために、可能な限り、アクセス制御の見直しや強化を行う

◎WebSphere Application Server

IBMは、WebSphere Application Server 8.5と同 9.0がLog4jの脆弱性の影響を受ける、と発表している。脆弱性は対策済みで、下記URLにある修正プログラムの適用を推奨している。

– WebShpere Application Serverの修正方法および脆弱性の詳細(英語)

◎IBM Watson Explorer

IBM Watson Explorer関連では、次の製品がLog4jの脆弱性の影響を受ける。

・IBM Watson Explorer Deep Analytics Edition Foundational Components
 バージョン12.0.0.0~12.0.3.7
・IBM Watson Explorer Deep Analytics Edition Analytical Components
 バージョン12.0.0.0~12.0.3.7
・IBM Watson Explorer Deep Analytics Edition oneWEX
 バージョン12.0.0.0~12.0.3.7
・IBM Watson Explorer Foundational Components
 バージョン11.0.0.0~11.0.2.11
・IBM Watson Explorer Analytical Components
 バージョン11.0.0.0~11.0.2.11
・IBM Watson Explorer Content Analytics Studio
 バージョン12.0.0~12.0.3
・IBM Watson Explorer Content Analytics Studio
 バージョン11.0.0.0~11.0.2.2

– IBM Watson Explorerの修正方法および脆弱性の詳細(英語)

◎IBMによるその他のLog4j関連情報

IBMからはそのほか、下記のような情報が公表されている(12月12日)。大半が調査中なので、IBMユーザーは今後もIBMからの情報に注意する必要がある。

– An update on the Apache Log4j CVE-2021-44228 vulnerability(英語)

・IBMエンタープライズ
 製品およびシステムを調査中。ネットワーク制御やWAF(Webアプリケーション・ファイアウォール)によりLog4jの悪用が防止されている場合でも暫定的に緩和策を適用している、という。

・IBMソフトウェアおよびシステム製品
 製品ごとに調査・分析を実施中。改善策や修正プログラムは、利用可能になった時点でIBMサイトで速報する予定。オンプレミス製品は、ユーザー自身がアップデートする必要がある。

・IBMコンサルティング
 通常のデリバリー・センターおよびプラットフォーム・サポート・プロセスの業務を通じて、ユーザーシステムの調査・分析を実施中。

・IBM セキュリティ
 IBM X-Forceチームが、セキュリティ・ツールによる検出およびセキュリティ侵害インジケータ(Indicators of Compromise)に関する情報を公開している(こちら)。またLog4jの脆弱性の分析結果を「IBM Security Intelligenceブログ」(英語)で公開中(こちら)。

・IBM Managed Security Services (MSS)
 脆弱性を排除するために、すべてのシステムを見直し中。

・IBMクラウド、およびas-a-service製品
 IBMクラウドでは、仮想マシンイメージやパッケージリポジトリにLog4jの脆弱性を含むコードがある場合、更新を実施。またネットワーク制御やWAFによりLog4jの悪用が防止されている場合でも、該当するサービス製品の修正を実施したという。

 ただし、IBMクラウドのクラシックおよびVPC仮想マシンサービスのユーザーは、ユーザー自身でLog4jの脆弱性を是正する責任がある、としている。

 またクラウド上で、Fortigate、Juniper vSRX、Security Groups、Network ACLなどのファイアウォールサービスを利用するユーザーに対しては、未承認のアウトバウンド接続をブロックする設定を推奨している。

  Fortigateの設定方法:https://www.fortiguard.com/outbreak-alert/log4j2-vulnerability
  Juniperの設定方法:https://threatlabs.juniper.net/home/search/#/details/?sigtype=ips&sigid=HTTP:APACHE:LOG4J-JNDI-MGNR-RCE

[i Magazine・IS magazine]

More Posts