ロシアのセキュリティベンダーであるDoctor Webは12月27日(現地時間)、「Vulnerabilities in Log4j 2 threaten users」においてApache Log4j 2.x(以下、Log4j 2)に報告された「CVE-2021-44228」をはじめとする複数の脆弱性を狙った攻撃の観測状況を公表した。2021年12月10日から23日にかけての観測結果では、攻撃のピークは17日から19日の間だったが、その後も攻撃は続いており、依然として注意が必要と警告している。
Log4j 2に報告されている脆弱性はCVEベースで「CVE-2021-44228」「CVE-2021-45046」「CVE-2021-45105」の3種類があり、いずれも「Lookup」と呼ばれる機能に起因するものである。悪用されるとリモートから任意のコードを実行されたり、サービス運用妨害(DoS)状態に陥らされたりする危険性がある。
またLog4j 2とはコードベースが異なるが、Log4j 1.x系のバージョンに対してもデフォルトではない設定でJMSAppenderと呼ばれる機能を使用している場合に、Lohg4j 2と同様にJNDIリクエストを使った攻撃が可能になる脆弱性が「CVE-2021-4104」として報告されている。
Doctor WEBがサイバー攻撃の傾向を調査するために設置しているハニーポットにおいても、これらの脆弱性を悪用した攻撃が多数観測されているという。攻撃はCVE-2021-44228の詳細がソーシャルネットワークなどに拡散された12月7日頃から増加しはじめ、同17日から20日頃にピークを迎えている。その後、数としては減少してはいるものの、同23日の時点でも依然として攻撃は続いているとのこと。
-
Doctor Webのハニーポットで観測されたLog4j 2の脆弱性を利用した攻撃の数 出典:Doctor Web
攻撃は72の異なるIPアドレスから実行されており、ドイツやロシア、米国や中国からの攻撃が多いものの、その他の国を発信源とするものも少なくない。Log4j 2に直接依存しないアプリケーションでも、使用してるフレームワークやライブラリによって間接的に依存している可能性があるため、影響範囲の見極めは慎重に行う必要がある。
Doctor Webでは、Log4j 2ライブラリを使用するソフトウェアのアップデート情報を注意深くチェックし、アップデートが提供されたらできるだけ早くインストールするように呼びかけている。
