ユーザーを脅かすLog4j 2に潜む脆弱性

2021年12月28日

株式会社Doctor Web Pacific

Doctor Web では、ロギングライブラリ「Log4j 2」に潜む危険な脆弱性（CVE-2021-44228、CVE-2021-45046、CVE2021-4104、CVE-2021-42550）に対してセキュリティ対策を講じるよう注意喚起を行っています。このライブラリはApache Logging Projectの一部で、Javaプロジェクトへのログインに使用されます。これらの脆弱性を悪用されると、攻撃者によってシステム上で任意のコードが実行される危険性があり、DoS攻撃や機密情報の漏えいにつながる可能性があります。Apacheからは既に複数のパッチがリリースされていますが、これら脆弱性は依然として危険な状態であると考えられます。

最も深刻な脆弱性であるLog4Shell （CVE-2021-44228）は、Log4j 2ログメッセージの生成機能に関連しています。ログメッセージが特定の形で生成された場合に攻撃者のサーバーへの接続が行われ、コードが実行されます。

サイバー犯罪者はこれらの脆弱性を悪用して、仮想通貨をマイニングするためのマルウェアを拡散させています。また、デバイスへのリモートアクセスを可能にするバックドアや、DDoS攻撃の実行を可能にするDDoSトロイの木馬を拡散させることも可能です。

Doctor Webでは、ハニーポット（攻撃者をおびき寄せる罠としてDoctor Webのスペシャリストによって設置された特別なサーバー）の一つに持たせた脆弱性へのエクスプロイトを使用して、攻撃の記録を収集しました。攻撃が最も多く発生したのは12月17～20日の間となっていますが、その後も依然として続いています。

攻撃は72の異なるIPアドレスから実行されています。国別では、ドイツのIPアドレスが最も多く、21%を占めていました。次いでロシアのIPアドレスが僅かに少ない19.4%となっており、米国と中国のIPアドレスがそれぞれ9.7%で3番目となっています。

プロジェクトにはLog4j 2を直接使用するものもあれば、間接的にLog4j 2に依存するものもあり、世界中で多くのプロジェクトがこれら脆弱性の影響を受けています。Log4j 2ライブラリを使用するソフトウェアについては、アップデートリリース情報に気を配り、最新のアップデートをできる限り早くインストールするようにしてください。

また、Dr.Webを定期的に更新するようにしてください。Dr.Webのアンチウイルス製品は、脆弱性Log4j 2を悪用してデバイスに侵入するマルウェアのペイロードを検出することができます。