Impervaは12月9日(米国時間)、「Log4j: One Year Later|Imperva」において、Javaベースのオープンソースのロギングライブラリ「Apache Log4j」に存在する重大な脆弱性の動向について伝えた。1年前に発見されたLog4Shell(CVE-2021-44228)として知られるLog4jのリモートコード実行(RCE: Remote Code Execution)の脆弱性の状況が紹介されている。

  • Log4j: One Year Later|Imperva

    Log4j: One Year Later|Imperva

CVSSv3スコア値が最大の10と分析され、深刻度が「緊急(Critical)」と評価されたこの脆弱性は、事実上かなりの数のJava環境で使用されるロギングフレームワークに影響する重大な問題とされている。アプリケーションのエラーメッセージを記録するための一般的なJavaライブラリであるLog4jの普及とLog4Shellの悪用が容易であることから、攻撃者に悪用される重大な脆弱性の一つと考えらている。

この脆弱性に対してすぐにLog4jのパッチ版がリリースされたが、依然として多くのシステムが保護されていないとみられている。最近の調査では、今年10月の時点で72%の組織がLog4Shellの脆弱性を抱えたままであることが判明している。また、たとえ修正されたとしても、修正後に新しい資産が追加されると、多くのインスタンスが再び脆弱になることも確認されている(参考「Log4j脆弱性に組織の72%が現在も脆弱 - Tenable | TECH+(テックプラス)」)。

2021年12月にLog4Shellが登場してから攻撃数は減少しているが、Impervaの顧客が1日平均50万件の攻撃リクエストにさらされていることが報告されている。そのうちの約7%が攻撃に成功したとされており、2021年12月以降の全CVEリクエストの12%がLog4Shellに関連するものだったことが確認されている。

  • Log4j Requests|Imperva

    Log4j Requests|Imperva

  • Log4j Requests by Day|Imperva

    Log4j Requests by Day|Imperva

Log4Shellは今後も数え切れないほどのシステムに影響を与え続けるとみられている。そのため、パッチが適用されたバージョンのLog4jを使用していることを確認するとともに、脅威から保護するためにセキュリティ対策を実施することが望まれている。