コンテンツにスキップ
ログ 4 シェル

イラスト:セキュリティ管理;画像

カジノサイト

Log4Shell の余波: デジタル基盤の強化

ミーガン・ゲイツ著
2022 年 5 月 1 日

印刷問題:2022 年 5 月/6 月

Java の重大な脆弱性に対するパッチが公開されてから 1 か月以上が経過し、ユーザーはソフトウェアのパッチが適用されていないバージョンを使用して 1 時間あたり 10,000 件のダウンロードを行っていました。これは全世界の Java ダウンロードの約 30% に相当します。

デビッド・ナリー、社長、2022 年 2 月の証言でこれらの指標を提供、.

「現実には、人間がソフトウェアを作成しているため、今後もバグが存在し、最善の努力にもかかわらず、その中にはセキュリティ上の脆弱性が含まれることになるでしょう。」とナリー氏は言いました。

ナリーは国会議事堂で、に関する議員の質問に答えていました。脆弱性とその広範なセキュリティ エコシステムへの影響。 Log4Shell は、人気のあるオープンソース ソフトウェア ログ ツール Log4j の脆弱性です。Log4j は、プログラム、製品、システムをサポートするために世界中の開発者によって使用されており、その数は数百万にも及ぶ可能性があります。

インターネットのオープンソース インフラストラクチャにあるこの亀裂が悪用されると、システムは悪意のあるコードのダウンロードや実行などの Log4j の機能を使用して損害を与える可能性があります。 Alibaba Cloud の研究者は、2021 年 11 月にこの脆弱性を Apache に報告し、Apache はすぐにセキュリティ チームと協力して Log4Shell の脆弱性を修復するパッチを作成しました。彼らはほぼ記録的な速さ、つまり約 2 週間でソリューションを量産しました。

しかし、パッチが広く実装される前に、2021 年 12 月 9 日に誰かが Log4Shell に関する情報を GitHub に投稿し、その存在を世界に警告し、悪意のある攻撃者が脆弱性を悪用する前にパッチを適用する競争を開始しました。

24

少なくとも 1 つの既知のセキュリティ脆弱性を含む、最も人気のあるオープンソース プロジェクトの割合。

セキュリティコミュニティは迅速に対応しました。研究者らがまとめた影響を受ける製品、ツール、ソフトウェア。セキュリティスタッフはネットワークを深く調査して、危険がどこにあるのかを特定しました。そして組織は、脆弱性の理解と評価に特化したリソース ページを立ち上げました。オーストラリア サイバー セキュリティ センター、カナダ サイバー セキュリティ センター、FBI、ニュージーランド国家サイバー セキュリティ センター、英国国家サイバー セキュリティ センター、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁 (CISA) などの世界中の政府機関も、Log4Shell に関する緩和ガイダンスを提供します。

CISA 長官この脆弱性は「連邦ネットワークのセキュリティにとって容認できないリスク」であり、連邦文民機関に対し、ネットワークを保護するために直ちに措置を講じるよう指示しました。彼女はまた、他のすべての組織にも同様のことを行うよう求めました。

「ネットワーク上で脆弱な製品を使用している場合は、あらゆる脅威に対して門戸が広く開かれていると考えるべきです」とイースタリー氏は声明で述べた。

オープンソース ソフトウェア ツールは、Red Hat によれば「誰でも検査、変更、拡張できるソース コードを備えたソフトウェア」に基づいているため、セキュリティを確保するのが困難です。 「ソース コードは、ほとんどのコンピューター ユーザーが目にすることのないソフトウェアの一部です。これは、コンピューター プログラマーが操作して、ソフトウェアの一部 (「プログラム」または「アプリケーション」) の動作を変更できるコードです。コンピューター プログラムのソース コードにアクセスできるプログラマーは、機能を追加したり、常に正しく動作しない部分を修正したりすることで、そのプログラムを改善できます。」

オープンソース ソフトウェアはデジタル エコシステムの重要な部分であり、Linux オペレーティング システムや Apache Web サーバーの形など、何百万もの異なる方法で使用されています。たとえば、Atlantic Council の Scowcroft Center for Strategy and Security の下で Cyber​​ Statecraft Initiative のディレクターを務める Trey Herr 氏によると、最終製品には何百ものオープンソース パッケージが含まれる可能性があります。

ある米国商務省と国土安全保障省 (DHS) によってリリースされた、オープンソース ソフトウェアとデバイス ファームウェアは、情報通信技術 (ICT) のサプライ チェーンで最も脆弱な領域として挙げられています。

「オープンソース ソフトウェアの遍在的な使用は、悪用に対する脆弱性を考慮すると、ソフトウェア サプライ チェーンのセキュリティを脅かす可能性がある」と評価では判明しました。 「さらに、ICT サプライ チェーンの複雑さにより、多くの OEM がファームウェア開発をサードパーティ サプライヤーに委託するようになりました。これにより、サプライヤーのプログラミングとサイバーセキュリティ標準の透明性の欠如に関連するリスクが生じます。」

また、シスコなどのセキュリティ ベンダーにとって、侵害された場合、オープンソース ソフトウェアの脆弱性に対処することは多面的であり、自社の組織のセキュリティだけでなく、クライアントが使用する自社製品のセキュリティにも対処する必要があると、シスコシステムズの上級副社長兼最高セキュリティおよびトラスト責任者のブラッド アーキン氏は国会議事堂での証言で述べました。

しかし、シスコには Log4Shell に対処する上でいくつかの利点がありました。同社には、問題に即座に対処するための資金と人員というリソースがあった。また、インターネット インフラストラクチャの重大な問題に対処した経験もありました。

「2014 年、私たちの業界は、同様に広範囲に及ぶ「」と呼ばれるゼロデイ脆弱性に直面しました。」とアーキンは言いました。 「当時、シスコは脆弱性を修正するためにアップデートが必要なソフトウェアの完全なリストを特定するのに 50 日かかり、必要なソフトウェア パッチを適用するのにさらに数週間かかりました。Log4j への対応により、シスコは大幅に迅速に対応することができ、自社の製品とサービス内での Log4j ライブラリの使用を特定し、影響を受ける製品に 10 日以内にソフトウェア パッチを提供することができました。」

しかし、他の企業にはそのような利点がなく、問題に対処することができなかった、または対処しようとしませんでした。ナリー氏とアーキン氏と同じ公聴会で、パロアルトネットワークスのユニット 42 脅威インテリジェンス担当副ディレクターであるジェン・ミラー・オズボーン氏は、パッチが適用されていないサーバーがオンプレミスとクラウドに多数あると述べました。

「多くの重大度の高い [リモート コード実行] 脆弱性の典型的な例として、攻撃者はパッチが適用されていないシステムを探し出して悪用する目的で、Log4Shell の大規模なスキャン活動を実施しました。」と彼女は説明しました。

a によると、これらのターゲット システムの一部には、Log4j を組み込んだ Java ベースのソフトウェアを実行する公的金融機関が含まれる可能性があります。2022 年 1 月。

悪意のある攻撃者が Log4j を使用して、たとえばサービスを妨害し、公的金融機関から身代金を強要する可能性があるとフィッチの報告書は述べています。

これは事実上、ソフトウェア インフラストラクチャの基盤に亀裂が入ったものでした。

「公的金融機関に対するランサムウェア攻撃は過去 3 年間で増加しています。Java ベースのソフトウェアの普及、業界全体にわたるレガシー システムのパッチワークの普及、IT スタッフのリソースの有限さにより、Log4Shell は攻撃のリスクをより深刻にしています」とフィッチの報告書は説明しています。 「多くの Java アプリケーションはサポートされていない、または独自仕様であり、アクティブなアプリケーションの堅牢な資産インベントリを持たない組織は、埋め込まれた Log4j コードをすぐに特定できない可能性があります。さらに、既存の機器やソフトウェアの更新に多額のコストがかかるため、一般に、機関、特に小規模な組織は、たとえ古いソフトウェアやサポートされていないソフトウェアであっても、レガシー システムに長年依存する可能性があり、機関のセキュリティにギャップが生じる可能性があります。」

アーキン氏とナリー氏は証言の中でこの点に触れ、両組織がLog4Shellの脆弱性に対処するパッチを開発し、公開したと説明した。

「顧客に情報を提供したら、顧客はそれを入手し、パッチ管理ウィンドウ内で適用する必要がありました」とアーキン氏は言いました。 「それは私たちが追跡するものではありません。」

世界的に統一されたインシデント報告要件がまだ存在していないため、どの組織が Log4Shell エクスプロイトの影響を受けたかを言うことも困難です。たとえば、個人を特定できる情報が侵害される可能性がある一部の例を除いて、米国には侵害通知に関する法律や規制がありません。

ナリー氏は、セキュリティ監査やオープンソース ソフトウェアのコード検証の増加など、Log4Shell の開示によっていくつかの良い点があったことを認めました。しかし、この事件はより広範で古い問題を示している、とスカウクロフトセンターのハー氏は公聴会で述べた。

欠陥というよりも、「これは事実上、当社のソフトウェア インフラストラクチャの基盤に亀裂が入ったものです」と Herr 氏は Log4Shell について述べ、ソフトウェア サプライ チェーンは依然として脆弱であると付け加えました。彼と彼のチームが 2010 年にオープンソース コード プロジェクトのカタログ作成を開始して以来、オープンソース コード プロジェクトに対する個別の攻撃が 140 件ありました。Atlantic Council のさらなる調査により、最も人気のあるオープンソース プロジェクトの 29 パーセントに少なくとも 1 つの既知のセキュリティ脆弱性が含まれていることが判明しました。

「私たちの任務は、これらの重要で広く使用されているテクノロジーを可能にするオープンソースの長期的な存続可能性とセキュリティを確保することです」とハー氏は述べた。 「オープンソースのセキュリティの向上に取り組む際、私たちはこれらのコミュニティを修復することを目指すべきではなく、オープンソースの開発者、メンテナ、消費者がお互いの安全をより良くできるように、コミュニティにとってより良いパートナーになることを目指すべきです。」

その作業の一部は進行中です。 2022 年 2 月に、米国国立標準技術研究所 (NIST)ソフトウェア セキュリティの実践とソフトウェア セキュリティのラベル付けに関するガイダンス、フレームワーク、推奨事項が含まれています。ソーラーウィンズのサプライチェーン侵害を受けて、ジョー・バイデン米国大統領は2021年5月に大統領令を発行し、NISTを含む各機関に対し、システムのセキュリティと完全性に関する取り組みを通じてサイバーセキュリティを強化するよう指示した。ソフトウェア サプライ チェーン.

しかし、ヘルさんは、もっとやる必要があると言いました。同氏は、CISAのサイバーセキュリティ部門内にオープンソースのセキュリティアウトリーチおよびパートナーシッププログラム室の設置を米国議会に認可するよう勧告した。さらに、ハー氏は、CISA は政府のフットプリントだけでなく、テクノロジー エコシステム全体のオープンソース リスクも評価する必要があると述べました。

「オープンソース ソフトウェア サプライ チェーンの安全性を高め、将来の危機を待つのではなく積極的にリスクを管理するための連邦措置を優先させることを目的とした官民双方の投資決定を導くために、これらの評価の成果が緊急に必要とされています。」とハー氏は説明した。

最後に、Herr 氏は、オープンソース ソフトウェアは重要なデジタル インフラストラクチャの一部であるため、セキュリティを確保するために投資を行う必要があると述べました。米国下院に提出された 1 件の提案 (現在)セキュリティ管理者プレスタイムでは、DHS 内にクリティカル テクノロジー セキュリティ センター (CTSC) を設立する予定で、その中にはオープンソース セキュリティに重点を置いたセンターも含まれます。

「適切なリソースがあれば、オープンソース向けのこの CTSC は、オープンソース エコシステムの健全性と長期的なセキュリティを改善するための連邦政府の取り組みの出発点となるでしょう。」とハー氏は述べた。

「日常的なものに資金を提供する」ことで、議会やその他の利害関係者は、将来の攻撃に対して、すべての開発者と保守者にわたるソフトウェア サプライ チェーンのセキュリティの構造的改善を生み出すことができるとハー氏は付け加えた。

「私たちが防御しなければならないサイバー攻撃の対象領域は、これらの脆弱性によって形成されつつあります」と彼は言いました。 「これらは私たちを守るだけでなく、私たちが海外で直面する安全保障環境の管理を容易にするためのものです。」

arrow_upward