Trustwaveは8月25日(現地時間)、「2022 Trustwave SpiderLabs Telemetry Report|Trustwave」において、重大な脆弱性に関する2022年上半期の調査結果を公開した。同レポートによると、2021年11月に発覚して世界中のITシステムの混乱を引き起こしたApache Log4j 2(以下、Log4j2)の脆弱性、通称「Log4Shell」は、6カ月以上が経過した2022年6月の時点でも、依然としてパッチが適用されない脆弱なインスタンスが多数残っており、攻撃者による悪用が続いていることが分かったという。

Log4Shellは、Javaアプリケーション向けのログ出力ライブラリであるLog4j2に発見されたリモートコード実行の脆弱性である。識別子は「CVE-2021-44228」となっているが、「CVE-2021-45046」や「CVE-2021-45105」などの関連するいくつかのCVEを含めてLog4Shellの一部とされる場合もある。極めて悪用が容易であることや、Log4j2がJavaアプリケーション開発では人気の高いライブラリであることなどから、その影響範囲は非常に大きく、セキュリティベンダーおよび各国のセキュリティ機関が繰り返し注意喚起を行ってきた。

それにもかかわらず、TrustwaveがShodanを使用して行った2022年6月時点の調査では、依然としてCVE-2021-44228(Log4Shellの最初の脆弱性)に対して脆弱な可能性のある1,467個のインスタンスが発見されたという。これは、調査対象となった405,993インスタンスのうち の0.3613%にあたる。これらの脆弱なインスタンスはロシアや米国、ドイツなどの多く分布していることも確認されている。

  • 2022年6月9日現在のLog4Shellに対して脆弱なホストのヒートマップ(引用:Trustwave)

    2022年6月9日現在のLog4Shellに対して脆弱なホストのヒートマップ 引用:Trustwave

単に脆弱なインスタンスが残されているだけでなく、実際に悪用を狙う攻撃者がいることも判明したという。次の図は、2022年5月21日から6月20日までの30日間にインターネット上でLog4Shellを悪用しようとした固有IPアドレスの傾向をまとめたもので、2度の突出した攻撃を除けば、1日あたり20個ほどのIPが観測されていることがわかる。

  • 2022年5月21日から6月20日までのLog4Shellに対して悪用を試みた固有IPアドレスの傾向(引用:Trustwave)

    2022年5月21日から6月20日までのLog4Shellに対して悪用を試みた固有IPアドレスの傾向 引用:Trustwave

Trustwaveは、セキュリティスタッフが保護するべき資産に対する定期的なレビューを実施し、重要なシステムへのパッチ適用を優先することや、システムへのアクセスを制限して"最小特権の原則"を適用することなどを推奨している。