Apache Log4jに存在する任意のコード実行の脆弱性(CVE-2021-44228)について、当社取り扱いの対応製品をまとめています。
Log4jに対する要件(課題)にあわせてケース別に対策ソリューションをご紹介します。
なお、影響、対策など脆弱性の詳細については、JPCERT/CC、IPA(情報処理推進機構)をご参照ください。
Log4jの利用有無が不明であったり、管理外サーバーの存在を否定できない状況では、資産の把握も重要です。把握した資産に対しては、脆弱性チェックを実施することで、対策の必要性を確認できます。
Log4jが組み込まれているのは把握しているが、システムを止められない、パッチをあてるにも検証に時間を要する場合、攻撃経路であるNW周りを強化することが先決です。
新たな脅威に備えるには、Webアプリケーションに特化したセキュリティ対策やサーバー自身へのセキュリティ対策も有効です。
本脆弱性に対する攻撃は、社外からだけでなく、マルウェア感染したPCから社内で攻撃されることもあり得ます。PCへの対策としてEDRも考えられますが、感染PCからの攻撃を抑止させるために社内NWに対しUTMを導入する手法もあります。
対応ソリューション
脆弱性のあるLog4jを導入しているか調査したい
| 取り扱い製品名 | 対応状況 | 具体的な対策内容 | 保護対象システムの配置 | ||
|---|---|---|---|---|---|
| オンプレ | クラウド (IaaS/PaaS) |
||||
| インターネット公開資産洗い出し、脆弱性チェック | CyCognito | CVE-2021-44228の脆弱性のあるIT資産を外部から診断、洗い出しが可能 専用の「Log4j Dashboard」にて脆弱性を持つIT資産の状況確認が可能 |
メニューから「Log4j Advisory」を選択しダッシュボードを表示 | 〇 | 〇 |
| IaaS/PaaS上の資産の脆弱性チェック | Orca Security | CVE-2021-44228の脆弱性のあるIT資産の検出が可能 | Orca SecurityはAWS、Azure、GCP上でlog4jを使っているお客さまのアプリケーションとワークロードを検出することが可能(※) アプリケーション、ワークロードを停止した状態でも脆弱ライブラリの使用を検出できるのが特徴 ※ただしlog4jのソースコードを流用・改変したライブラリは検出不可 |
― | 〇 |
脆弱性のあるLog4jを導入しているが、
すぐにバージョンアップや回避策を実施できない
| 取り扱い製品名 | 対応状況 | 具体的な対策内容 | 保護対象システムの配置 | ||
|---|---|---|---|---|---|
| オンプレ | クラウド (IaaS/PaaS) |
||||
| FW/UTM | Fortinet FortiGate | CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 | 一般的なF/Wポリシーで当該IPSシグネチャを適用 (1) IPSシグネチャVer 19.215以降がインストールされていることを確認(未適応の場合は、最新のシグネチャへの更新を行う) (2) 検知遮断したいF/Wポリシーに、当該IPSシグネチャを含むIPSの設定を行う。 |
〇 | ― |
| FW/UTM | Palo Alto Networks 次世代ファイアウォール |
CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 | 一般的なF/Wポリシーで当該脅威IDを有効化 (1) Threat Prevention ライセンスのApplication and Threat content update 8502以降がインストールされていることを確認(未適応の場合は、最新のシグネチャへの更新を行う) (2) 検知遮断したいセキュリティポリシールールに、脅威ID:91991、91994、および91995 を適用する設定を行う。 |
〇 | △ (仮想アプライアンス) |
| FW/UTM | Juniper Networks SRXシリーズ | CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 | 一般的なF/Wポリシーで当該IPSシグネチャを適用 (1) IPSシグネチャ Ver 3444 以降がインストールされていることを確認 (2) 検知/遮断したいF/Wポリシーに、シグネチャ名:HTTP:APACHE:LOG4J-JNDI-MGNR-RCE または、このシグネチャを含むグループを適用する。 |
〇 | △ (仮想アプライアンス) |
今後Log4jのような脆弱性発見時の脅威に備えたい
| 取り扱い製品名 | 対応状況 | 具体的な対策内容 | 保護対象システムの配置 | ||
|---|---|---|---|---|---|
| オンプレ | クラウド (IaaS/PaaS) |
||||
| WAF | Imperva WAF Gateway | CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 | (1) ThreatRadar利用の場合 「Emergency Feed」のポリシーを有効化かつサーバーグループへ適用することで利用可能(デフォルトでは無効) ※ThreatRadarの利用は、オプションライセンスの購入が必要 (2) ADCコンテンツ利用の場合 「Recommended Signatures Policy for Web Applications」の「Recommended for Blocking for Web Applications」に対応シグネチャが追加済み(デフォルトで有効かつブロックの動作となる) ※最新シグネチャへ更新することで適用される ※Imperva WAF Gateway単体で対応可能 (3) カスタムシグネチャ利用の場合 メーカーのサポートページに記載の手順でカスタムシグネチャを作成、適用することで検知・対応可能 ※Imperva WAF Gateway単体で対応可能 |
〇 | △ (仮想アプライアンス) |
| WAF | Imperva Cloud WAF | CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 | デフォルトのWAFルール「Illegal Resource Access」にて設定済みのアクション(検知/ブロック/無検知)に応じた対応が可能 | 〇 | 〇 |
| IaaS/PaaS上の資産の脆弱性チェック・対策 | Palo Alto Networks Prisma Cloud | CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 攻撃発生前でも、ホスト・コンテナが脆弱なLog4jパッケージ(またはJARファイル)を保持していることを検出可能 |
(1) Prisma Cloud Compute Defender エージェントをインストールしている場合は、自動的に脆弱なLog4jパッケージ(またはJARファイル)を検出可能 (2) カスタムルールを適用し対象アプリケーションへの通信遮断が可能 https://www.paloaltonetworks.com/blog/prisma-cloud/log-4-shell-vulnerability/ |
- | 〇 |
| Webアプリへの攻撃防御 | HUMAN Bot Defender |
Webサイトに対してCVE-2021-44228の脆弱性を自動スキャンするリクエストのブロックが可能 | 特別な設定は不要 脆弱性の自動スキャンのリクエストをAIが判断し自動的にブロック |
〇 | 〇 |
| サーバーへの攻撃防御 | Trend Micro Cloud One Workload Security / Trend Micro Deep Security | CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 | 侵入防御(DPI)ルール(ルールID: 1011242)を適用 | 〇 | 〇 |
| サーバーのEDR対策 | Fortinet FortiEDR | CVE-2021-44228を悪用する攻撃から保護可能 | Log4jの脆弱性を悪用し配信されるペイロードを監視しブロック可能 また、Log4jの脆弱性に関連するJARファイルの脅威ハンティングが可能 |
〇 | 〇 |
| サーバーのEDR対策 | Palo Alto Networks Cortex XDR Prevent | CVE-2021-44228を悪用する攻撃から保護可能 | エージェントにコンテンツを適用 (1) Linuxはエージェントソフトをインストールし、コンテンツ290-78377を適用することで、自動的に検知し保護が可能 (2) Windows環境は、振る舞い検知機能で自動的に検知保護が可能 |
〇 | 〇 |
| 開発アプリケーションのソースコード(またはバイナリ)に対する脆弱性チェック | BlackDuck | 攻撃発生前に、ソフトウェア・アプリケーションが脆弱なLog4jパッケージ(またはJARファイル)を保持していることを検出可能 |
(1) 対象のソフトウェア・アプリケーションのソースコード(またはバイナリ)をスキャンすることで自動的に脆弱なLog4jパッケージ(またはJARファイル)を検出可能 ※システムのソースコードが必要で配置は問わない |
― | ― |
| 開発アプリケーションのソースコードに対する脆弱性チェック | WhiteSource | 攻撃発生前に、ソフトウェア・アプリケーションが脆弱なLog4jパッケージ(またはJARファイル)を保持していることを検出可能 |
(1) 対象のソフトウェア・アプリケーションのソースコードをスキャンすることで自動的に脆弱なLog4jパッケージ(またはJARファイル)を検出可能 ※システムのソースコードが必要で配置は問わない |
― | ― |
| 開発アプリケーションのソースコードに対する脆弱性チェック | FOSSA | 攻撃発生前に、ソフトウェア・アプリケーションが脆弱なLog4jパッケージ(またはJARファイル)を保持していることを検出可能 |
(1) 対象のソフトウェア・アプリケーションのソースコードをスキャンすることで自動的に脆弱なLog4jパッケージ(またはJARファイル)を検出可能 ※システムのソースコードが必要で配置は問わない |
― | ― |
Log4jの脆弱性を攻撃するBot化した社内PCからの防御
| 取り扱い製品名 | 対応状況 | 具体的な対策内容 | 保護対象システムの配置 | ||
|---|---|---|---|---|---|
| オンプレ | クラウド (IaaS/PaaS) |
||||
| FW/UTM | Fortinet FortiGate / Fortinet FortiWiFi | CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 | 一般的なF/Wポリシーで当該IPSシグネチャを適用 (1) IPSシグネチャVer 19.215以降がインストールされていることを確認(未適応の場合は、最新のシグネチャへの更新を行う) (2) 検知遮断したいF/Wポリシーに、当該IPSシグネチャを含むIPSの設定を行う。 |
〇 | ― |
| FW/UTM | Palo Alto Networks Prisma Access | CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 | 一般的なF/Wポリシーで当該脅威IDを有効化 (1) Application and Threat content update 8502以降がインストールされていることを確認(未適応の場合は、最新のシグネチャへの更新を行う) (2) 検知遮断したいセキュリティポリシールールに、脅威ID:91991、91994、および91995 を適用する設定を行う。 |
〇 | 〇 |
