各主要機関でも注意喚起、Apache Log4j の脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」12月22日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・CVE-2021-44228の脆弱性は、なぜ深刻度が高いのか?
・ソフトウェアアップデート以外に回避策・軽減策はあるのか
今回の解説ニュース
https://scan.netsecurity.ne.jp/article/2021/12/16/46827.html
連日お届けしているApache Log4jの脆弱性について、NISCからも注意喚起が発表されています。パッケージ製品を含めたJavaで開発されたシステムでLog4jが使われていれば至急、最新バージョンへアップデートするなどの対策をしてください。
今回の脆弱性(CVE-2021-44228)が見つかったのは、Apache Log4jのバージョン2.0から2.14.1です。2.15.0にも別の脆弱性が見つかっているので、原則として最新バージョンへアップデートするなどの対策をしてください。Log4jの脆弱性によって、プログラムの異常終了、プログラムの実行、当該サーバーに保存されているデータの改ざん・削除・漏えい等、外部の第三者が任意のコードを実行することができます。
今回の発表では、本脆弱性を悪用する実証コードが公開されており、悪用を試みる通信が発生しているとのことから、IPAやJPCERT/CCから公開されている対策手法を参考に速やかに措置を講じるよう呼びかけています。
CVE-2021-44228の脆弱性は、なぜ深刻度が高いのか?
Log4jで見つかったCVE-2021-44228の影響が大きく、深刻度の高い脆弱性とみなされている理由は、リモートから簡単に攻撃できて、セキュリティ3要素に対して全面的に影響するからです。
今回、発見されたLog4jの脆弱性CVE-2021-44228では、CVSSバージョン3のスコアが最も深刻度の高い10.0とされています。CVSSとは、共通脆弱性評価システムと訳される、脆弱性に対するオープンで汎用的な評価手法です。ベンダーに依存しない共通の評価方法により、脆弱性の深刻度を同一の基準で定量的に比較できるとともに、脆弱性に関して共通の認識が持てるようになります。スコアが表す深刻度は、攻撃に必要な「場所」「条件」「権限」「ユーザの関与」と「脆弱性の影響範囲」「機密性、完全性、可用性への影響」によって決まります。CVSSの各評価項目は脆弱性ごとに公開されているので、Log4jの脆弱性と照らし合わせてみましょう。
まず、場所はネットワーク経由でリモートからでも攻撃可能、簡単に攻撃できることから複雑性は低いとされています。誰でも攻撃できるため必要な権限は不要、何もしなくても攻撃されるのでユーザの関与も不要とされています。脆弱性の影響範囲は別のシステムも影響を受ける可能性があることからスコープに変更があり、セキュリティ3要素である機密性、完全性、可用性に対して全面的に影響するとされています。
結論として、すべての評価項目で影響が大きいとされており、CVSSのスコアが10.0となり、深刻度の高い脆弱性とみなされています。
その他のトピック
ソフトウェアアップデート以外に回避策・軽減策はあるのか(全文はこちら)