さまざまなシステムやサーヴィスで広く使われているJavaのログ出力ライブラリーの脆弱性が、セキュリティの危機的な破綻を起こし、インターネット中で影響を及ぼしている。ハッカーは早くもこの脆弱性を悪用しようとしていることから、修正プログラムが登場したあとも世界中に深刻な影響をもたらす恐れがあると、研究者らは警告している。
この問題が見つかったのは、開発者がアプリケーション内のアクティヴィティを記録するために使用するオープンソースのフレームワーク「Apache Log4j」だ。このバグは簡単に悪用され、脆弱なシステムが遠隔操作される恐れがある。このためセキュリティ担当者たちは、大慌てでバグにパッチを当てようとしている。
一方でハッカーたちは、このバグの影響を受けているシステムをインターネット上で探し回っている。なかには、このバグを自動的に悪用しようとするツールや、条件が整えばひとつの脆弱なシステムから別のシステムへと独自に拡散できるワームなどをすでに開発した者もいる。
Log4jはJavaのライブラリーで、Javaは最近は消費者にはあまり人気がないプログラミング言語だ。しかし、企業のシステムとウェブアプリでは、いまも極めて広く使われている。このため研究者たちは、多くの主流のサーヴィスが影響を受けるだろうと語っている。
例えば、マイクロソフトが所有する「Minecraft(マインクラフト)」もそうだ。マイクロソフトは10日、Java版Minecraftのプレイヤーはシステムにパッチを当てる必要があるとして、詳細な説明を掲載している。「このバグは多くのサーヴィスに影響を及ぼし、MinecraftのJava版もそのなかに含まれます。この脆弱性によってあなたのコンピューターが侵害される危険があります」と、マイクロソフトの投稿には書かれている。
コンテンツ配信ネットワーク(CDN)などのインフラやセキュリティーサーヴィスで知られるCloudflareの最高経営責任者(CEO)のマシュー・プリンスは同日、この問題が「あまりに深刻である」ことから、インターネットインフラ企業として、無料サーヴィスを利用している顧客にも少なくともある程度の保護策を講じるよう努めるとツイートしている。
システムの壊滅的なダメージ
攻撃者は最終的に、Log4jヴァージョン2.0以上によって記録されることになる悪意あるコードの文字列を意図的に送信するだけで、この欠陥を悪用できる。こうすることで攻撃者は、任意のJavaコードをサーヴァーにロードして制御できるようになるわけだ。
「壊滅的なダメージを与える設計上のミスです」と、オープンソースのデータセキュリティプラットフォームであるLunaSecのCEOのフリー・ウォートリーは指摘する。同社の研究者はLog4jの脆弱性に関する警告と初期評価を、9日の段階で発表した。フォーラムで出回っているMinecraftのスクリーンショットを見ると、プレイヤーがMinecraftのチャット機能でこの脆弱性を悪用しているようだ。
10日にはTwitterのユーザーの一部が、この脆弱性を誘発する可能性のあるコードの文字列へと自身の表示名を変更し始めた。別のユーザーは自身のiPhoneの名前を同様に変更し、そこからわかったことをアップルに報告した。研究者たちは『WIRED』US版の取材に対し、この手法はメールでも機能する可能性があると説明している。
米国土安全保障省のサイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)は10日に今回の脆弱性に関する警告を発しており、オーストラリアのコンピューター緊急対応チーム(CERT)も同様に警告している。ニュージーランド政府のサイバーセキュリティ機関が発した警告は、この脆弱性は活発に悪用されていると指摘している。
「ひどい状況です」と、LunaSecのウォートリーは言う。「影響を受ける可能性のある人はあまりにも多く、悪用はあまりにも簡単です。緩和策はいくつかあるものの、現実には最新のリリースを使用していない多くの企業が、慌てて修正しようとしています」
なお、Apacheソフトウェア財団は、この脆弱性の深刻度を「危機的」に分類し、修正パッチと緩和策を10日に公開した。Apacheによると、この脆弱性を最初に明らかにしたのはAlibaba Cloud Security Teamのチェン・ジャオジュンだったという。
インターネットが“燃えて”いる
今回の事態は、相互に依存する企業向けソフトウェアのリスク管理の難しさを浮き彫りにしている。Minecraftもそうだったように、独自のパッチを開発する必要があったり、古いヴァージョンのJavaなどのレガシーソフトウェアを使用していたりすることで、すぐにパッチを当てられなかったりする組織も多い。
しかもLog4jはリアルタイムに動作するシステムの一部なので、気軽にパッチを当てるべきものではない。もしなにか問題が起きれば、悪用の動きを監視することが最も必要なまさにそのとき、ログを記録する機能が損われる恐れがあるからだ。
今回の事態に対して、一般ユーザーができることはあまりない。さまざまなオンラインサーヴィスの更新プログラムが公開されるたびに、インストールするくらいだ。ほとんどの作業は企業側、組織側で実行され、企業と組織は修正プログラムの導入に追われる。
「セキュリティの経験が豊富な組織は、今回のようなバグの悪用が発生した場合、数時間以内に自社の露出度を評価しようとし始めるでしょう。しかし、なかには数週間かかる組織もありますし、まったく見ようともしない組織もあるでしょう」と、ある大手ソフトウェア企業のセキュリティエンジニアは語る。この人物は重要インフラ対応チームと緊密に連携してこの脆弱性に対処していることから、匿名を条件としている。「インターネット全体で火の手が上がっていて、いたるところで燃えています。本当にいたるところです」
基本的な欠陥の破壊力
SolarWindsのソフトウェアを狙ったハッキングとその影響のような出来事は、一般に使われているソフトウェアへの侵入によって、事態がどれだけ悪い方向へ進む可能性があるのかを示した。これに対して今回のLog4jの問題は、多くのソフトウェアに組み込まれている基本的なコードに存在する欠陥が、たったひとつであってもどれだけ広範囲に影響を及ぼす可能性があるのかを物語っている。
「今回のようなライブラリーの問題は、特にサプライチェーンにおいては修正が難しい問題になります」と、Luta Securityの創業者で長年にわたり脆弱性を研究しているケイティ・ムスリスは言う。「このライブラリーを使うものはすべて、修正ヴァージョンを導入した状態でテストしなければなりません。わたしもライブラリーの脆弱性に対処した経験があるので、いま奔走している人たちの気持ちがよくわかります」
これまでのところは、今回の問題がどれだけ広範囲にわたるのか把握することが優先される。残念ながらセキュリティチームもハッカーも、その答えを見つけるために長時間労働を続けているところなのだ。
※『WIRED』によるセキュリティの関連記事はこちら。
からの記事と詳細 ( システムの重要な基盤「Log4j」の脆弱性が、世界中に“破壊的”な影響を及ぼしている - WIRED.jp )
https://ift.tt/33h7U2h
No comments:
Post a Comment