専門家の意見: Log4Shell の亡霊はなぜまだ彷徨うのか？

3年前、セキュリティチームにとって Log4Shell は最悪のクリスマスプレゼントだった。CISA からクリスマスイブまでにパッチを適用するようにとの命令が出されたことを考えると尚更だ。

11月の攻撃件数に関するデータは既に公開済みだが、この厄介な脆弱性はいまだに消えていないことがわかる。本記事では、この恐ろしいリモートコード実行(RCE)のバグがなぜこれほどまでに広範囲にわたって存在し続けているのか、そしてサイバーセキュリティのリーダーや実務担当者は、この永続的な脅威から組織を保護するために何ができるのかについて、専門家の意見を紹介する。彼らの洞察は、ソフトウェアサプライチェーンとオープンソースのコーディングライブラリの問題、サードパーティソフトウェアの可視化のためのソフトウェア部品表(SBOM)が認識されていない課題、そしてマネージドセキュリティサービスプロバイダーに頼ることの利点にまで及ぶ。

Log4j: サードパーティソフトウェアの深部に潜む

発見から3年が経った今も、「Log4Shell は、組織がソフトウェアサプライチェーン内の脆弱性を管理する上で直面するシステム的な課題を改めて認識させるものだ」と、IDC の DevSecOps & ソフトウェアサプライチェーンセキュリティ担当リサーチマネージャーであるKatie Nortonは述べている。

「3年近く前に公開され、2021年末までに修正されたと考えられているにもかかわらず、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の2023年の日常的に悪用される脆弱性トップリスト[PDF]に引き続き含まれていることは、レガシーな依存関係によってもたらされるリスクが根強く存在することを浮き彫りにしている」とNortonは続ける。

Contrast の顧客は Log4Shell が発生したときも慌てふためくことはなかった。彼らはエッグノッグを飲み続けていた。

「多くの組織にとって、脆弱なインスタンスを特定してパッチを適用することの難しさは、互換性の懸念と特に依存関係が大幅に古くなっているレガシーシステムにおいて、破壊的な変更を導入するリスクによってさらに悪化する。これらの課題が修正の遅延につながり、洗練された脅威アクターが引き続き悪用する隙を残しているのだ。」

ヘッドラインからは消えたが、Log4Shell は居座り続ける

他の専門家もNortonの評価に同意し、Log4j の脆弱なバージョンがこれほどまでに広まっているのは、主にサードパーティソフトウェアにおけるライブラリの偏在しているためであると説明している。

「発見から3年が経った今も、Log4Shell は、サイバーセキュリティの脅威は見出しから消えても消滅するわけではないことを如実に示している。パッチや緩和策はあるものの、この脆弱性は、レガシーシステムに依存している、またはソフトウェアサプライチェーンの監査に失敗している組織を危険に晒し続けている」と、National Cybersecurity Alliance の情報セキュリティ＆エンゲージメント担当ディレクターであるCliff Steinhauerは述べている。

業界の専門家は、Log4Shell のような脆弱性を掘り起こすためのこのアプローチを高く評価している。

「多くの場合、企業は、継続的な検証なしに、サードパーティベンダーまたはオープンソースの依存関係が安全であると想定している。Log4Shell からの教訓は明らかだ。サイバーセキュリティは、『設定してしまえば終わり』というものではない。企業は、定期的なパッチ適用、監視、テストを通じて、継続的な警戒を怠ってはならない」とSteinhauerは結論付けている。

VMのキャッチアップを待つだけ

獣医ケアネットワーク Vetcor の最高セキュリティ責任者である Andrew Wilderも同意見だ。「Log4Shell が最初に発生したとき、誰もが仮想マシンソリューション(VM)に目を向けた。

しかし、彼らはすぐに問題を認識することができなかった。そのため、私たちは皆、彼らがスキャナーを更新し、すべてのシステムをスキャンするのを待たなければならず、ようやく問題の範囲を知ることができた。そして、すべてを修正する作業に取り掛からなければならなかった」とWilderは述べている。「しかし、はっきりさせておきたいのは、これらは私たちが見つけることができたものだけだということだ」とWilderは続ける。「本当の問題はサードパーティソフトウェアに存在する。この場合、私たちはベンダーが更新バージョンを提供し、アップグレードに伴う互換性の問題に対処してくれるのを待っていたのだ。」

オープンソースソフトウェアにガードレールを設ける

一部の人によると、オープンソースソフトウェアの無制限な使用は、Log4j 問題を悪化させているだけだという。

「Log4jは、コミュニティにとって警鐘を鳴らすものでした」と、クラウドデジタル・トランスフォーメーションとサイバーセキュリティ・サービスのアドバイスとエンジニアリングを行う企業であるAquiaのCEOのクリス・ヒューズは言う。「可視性、インベントリ、懸念がほとんどまったくない状態で、オープンソースを何年も無秩序に消費してきたことが、世界中の組織が Log4j の脆弱性に対処しようと必死になったことで、突然止まった。当時の混乱にもかかわらず、今日の Log4j のダウンロードの約15％は、依然として脆弱なバージョンのコンポーネントを含んでいる。」

私たちが（まだ）目にしている Log4Shell 攻撃の数

「悪意のある攻撃者が、これまで見過ごされてきたこの不透明で安全でない脆弱な攻撃ベクトルをどのように利用するかを認識したため、オープンソースのエコシステムは依然として非常に脆弱だ」とHughesは続ける。

Wilderは、まだ危険な状態から脱していないことを強調する。「実際には、Log4Shell は解決にはほど遠い。今日でもまだ蔓延している」と言う。「そして、より多くの脆弱性が次々と出現し、悪用され続けている。」

SBOMの重要性

Norton 氏は、Log4Shell のような脆弱性の使用を抑制する方法として、企業はソフトウェア部品表(SBOM)への依存度を高める必要があると提案している。これはWilderも同意見だ。「

問題を複雑にしているのは、ソフトウェアサプライチェーンの可視化に不可欠な SBOM のような基本的なプラクティスの採用が限られていることだ。2024年の IDC の最近の調査によると、組織の約60％が本番アプリケーションのSBOMを生成しておらず、驚くべきことに、組織のわずか10％が、顧客から作成するアプリケーションのSBOMの提供を開始するように求められたと報告している。このような需要と可視性の欠如が、Log4j の脆弱なバージョンの使用を永続させている」とNortonは説明する。

OWASP のSteve Springettは、SBOM 品質の5つの側面を概説している。

「Log4Shell は、優れた SBOM の重要性についてサイバーセキュリティコミュニティに警告を発した」とWilderは述べている。「社内で開発されたアプリケーションとサードパーティアプリケーションの両方の完全なSBOMを提供するソリューションは、今日では稀だ。これは、少なくとも、人々がSBOMの必要性を認識するのに役立っている。」

希望の光はどこにあるのか？

Log4j の話はすべてが悲観的なわけではない。問題が継続していることを認識することが重要であり、組織が Log4j やその他の脆弱性に積極的に対処する必要があることも重要だ。

「小規模で技術的でない企業にとって、信頼できるマネージド IT サービスプロバイダーと提携することが重要だ」とSteinhauerは提案する。「このようなプロバイダーは、システムを最新の状態に保ち、潜在的な脆弱性を特定し、継続的な監視を提供するのに役立つ。セキュリティの更新と監査について定期的に質問することで、Log4Shell のような脅威の一歩先を行く上で大きな違いが生まれる可能性がある」とSteinhauerは述べている。

Contrast Security のマネージドアプリケーションセキュリティサービスである Contrast Oneは、企業が脆弱性を見つけて修正するのに役立つ可能性があり、アプリケーションにおける検知と対応(ADR)ソリューションも同様だ。

元 SOC アナリストが ADR を持っていれば、Log4Shell のクリスマスはずっと楽しいものになっていただろう。

AquiaのHughesは、ResilientCyber.io のオーナーで貢献もしており、「私たちのデジタルインフラは、いまだにいつ崩れてもおかしくないカードの家の上に築かれている、組織は、既知の脆弱性などのリスクの遅行指標を見るだけでなく、保守者の数と出身地、脆弱性がどの程度の頻度で迅速に解決されるか、プロジェクトとリポジトリのセキュリティ衛生状態などのリスクの先行指標を見るように成熟しなければならない。」

「また、悪用されていることがわかっているもの、悪用される可能性が高いもの、到達可能なものを理解しながら、可視性、インベントリ、消費のガバナンスなどの基本的なセキュリティを考慮する必要がある」とHughesは説明する。

Wilderは、可視性が重要だと考えている。「私たちの環境で何が実行されているかを包括的に理解することで、次の脆弱性が発生したときに迅速に対応し、優先順位を付けることができるようになる。」

Contrast Security が Log4Shell にどのように対処できるかについて詳しく知りたいですか。今すぐデモを予約してください。

関連記事/サイト：

• ADR ホワイトペーパー: The Case for Application Detection and Response (ADR)
• Contrast ブログ:  11月の攻撃データ：ADRが検知した攻撃の現状
• Contrast ブログ：Log4Shell: 3年後も燃え盛るLog4j脆弱性の危険