This post is also available in: English (英語)
2021年末に開示されたApache Log4jの脆弱性は2つの理由からとくにやっかいな問題となりました。第1の理由はApache Log4jが世界中の企業で広く利用されており、オープンソースソフトウェアや自社開発アプリケーションにバックエンドのロギングライブラリとして組み込まれていて影響範囲が大きいという点です。Apache Log4jの問題はほぼだれにでも影響するのです。第2の理由は修復に数週間かかりかねないという点です。最良の対策は最新バージョンにアップグレードすることですが、そのためにはまずパッチを当てねばならないインスタンスがどこにどれだけ存在しているか把握せねばなりませんし、Java 8がインストールされていることも確認しないといけません。パッチ適用前にJavaじたいをアップグレードするのは大仕事ですし、Log4jのパッチ適用前にテストサイクルを回してアプリケーションの動作への影響を調査するのも、年末に生産を停止するのもたいへんです。こうした理由から最新版への更新を何日あるいは何週間も見合わせるケースがあります。
パロアルトネットワークスのお客様は、以下のような方法でApache Log4jのリモートコード実行脆弱性を悪用する攻撃から保護されています。さらに、影響を受けるアプリケーションを特定し、必要に応じてインシデント対応を行うための多くのソリューションも提供しています。
パロアルトネットワークスのお客様はアクティブな脅威防御セキュリティサブスクリプションを備えた次世代ファイアウォール、Cortex XDR、Prisma Cloudによる保護を受けています。これによりお客様組織の担当部門が脆弱性にパッチを適用するまでの時間を稼ぐことができます。
新しいセキュリティ脆弱性が表面化するたび、攻守両サイドで脆弱なシステムの特定競争が始まります。この時点で防御側は「影響を受ける資産の全インベントリ」を把握していなければなりません。以下、パロアルトネットワークスがどのようにしてこの可視性を提供できるかを説明します。
Log4jの脆弱性に関連したインシデントが発生していることが予想される場合や、迅速な対応と復旧に追加のマンパワーが必要となった場合はUnit 42がお手伝いします。侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、infojapan@paloaltonetworks.com まで電子メールにてご連絡ください (ご相談は弊社製品のお客様には限定されません) 。
Log4jの脆弱性に関する詳細な調査結果についてはUnit 42によるまとめ記事をご覧ください。
自分はApache Log4jを使用していなくても、パートナー、顧客、サプライヤーが脆弱なコンポーネントを含むソフトウェアを使用している可能性があります。2021年末に見つかったこの脆弱性は、相互に依存しあう大規模なテクノロジエコシステムの脆さをあらわしています。サプライチェーンではよく知られている概念に「ブルウィップ効果」というものがあります。予測外の供給変動があったとき、その変動が積み重なり、結果的に実需の変動量から乖離したコスト高を個々の企業にもたらす、というものです。サイバーセキュリティ分野では、このブルウィップ効果のサイバーセキュリティ版とでも呼ぶべきものを私たちは体験しています。そこでは、たった1つの脆弱性がグローバルなインシデントにつながるようなインフラをもつことで、場にいる全員が影響を被ります。
最新のLog4jの分析結果と緩和策、最新の脆弱性更新情報にアクセスするには、引き続き Unit 42ブログやUnit 42によるApache Log4jの脅威に関する最新情報のブリーフィングのオンデマンドリプレイをご確認ください。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.