ブログ一覧へ戻る

Log4Jの脆弱性問題:
今後の対策はできていますか?

著者
Luke Richards
|
2022-01-25

現在セキュリティ業界で、Log4JのJNDIの脆弱性を知らない人はいないでしょう。この脆弱性は、業界内に大きな衝撃を与え、対策のために休日を返上することになった人もいると思います。Log4Jは、インジェクションの脆弱性で、攻撃者がリモートコードを実行してシステムを悪用することができます。パブリッククラウド領域(特にAWS)では、環境変数に格納された機密を攻撃者が持ち出すことで、この問題が発生します。静的に保存されている機密に加えて、Log4jインジェクション脆弱性を利用して、AWSの最大の攻撃対象であるEC2インスタンスから一時的な認証情報を抽出する方法もあり、詳細は以前ブログでご紹介しています。

これまでに、Log4jの脆弱性に対して、パッチのインストールや認証情報のローテーションなどによって、組織の安全性を確保し、関連する侵害の爆発半径を限定する方法について、数多くの記事が出されています。しかし、これらの手段だけでは課題があることを認識すべきです。いくつか例をあげると以下の通りです。

• すべてのシステムに迅速にパッチを適用できるわけではないため、脆弱性は残ります。また、パッチの適用には時間がかかり、多くの場合、IT部門の管理外にあるベンダーやサービスプロバイダーに依存することになります。  

• 今回のLog4Jの脆弱性が最後ではないことは残念ながら確実で、次への対策が必要です。爆発半径を制限するだけでは、攻撃者はその環境内で十分な時間を過ごすことができ、機密資産に侵入し大惨事を引き起こすことになります。

• 攻撃者が侵入した後は、最初に侵害を受けたポイントにパッチを当てても、あまり効果はありません。攻撃者は、さまざまな認証情報を引き出し、マシンを介して進行し、サーバー、コンテナ、サーバーレスコードを介してコマンド&コントロールチャネルを確立し、組織の資産、サービス、データに悪影響を与え、それがビジネスの中断や機密データの損失につながります。

パッチと侵害後の復旧に過度に重きを置くと、SOC は常に既に起こった侵害を追いかけ続けることになります。パッチの適用に加えて必要なのは、攻撃者が侵入した際にその進行を迅速に検知し、次のエクスプロイトが発生しても回復力のある保護を提供することです。

クラウド上での攻撃の進行を検知するのは、解決が難しい

エンティティの振る舞いを追跡し、クラウド環境に加えられた変更をリアルタイムに特定することは極めて困難です。さらに、認証情報を持つ一般ユーザーと、同じ認証情報を使用する悪意のある攻撃者との違いを見分けることは、ほぼ不可能です。  

Vectra Detect for AWSにおまかせください

Detect for AWSは、セキュリティ主導のAIを用いて、AWSコントロールプレーンにおける攻撃者の振る舞いを検知します。例えば、Vectraは、EC2インスタンスの認証情報がAWSのIP空間外で使用された場合、「AWS Suspicious Credential Usage」を起動します。これにより、リソースへのアクセスに使用されている、盗まれた認証(Log4Jを使用したリモートコード実行による)の特定が容易になります。ペリメーター内では、Detectがリージョン全体のアカウントやサービスを継続的に監視し、クラウドのキルチェーン(探索、ラテラルムーブメント、流出)における悪意のある攻撃者の振る舞いを迅速に特定します。攻撃者が取る経路の可能性としては、次のようなものがあります。

• AWS Lambda関数にアクセスして変更し、攻撃者に有利なアクションを実行。Detectは、Lambdaハイジャックの発生を特定し、ハイライトします。

• 永続性を維持するための新しいユーザープロファイルの作成を含む、さまざまな特権拡大のテクニックを実施。Detectは、管理者権限の付与に関連する動作を特定し、新しいユーザープロファイルの作成を監視します。

• 監視されていないリージョンでAWSリソースをスピンアップさせ、リソースを外部に公開。Detectは、これまで使用されていなかったリージョンでのアクティビティを示すアラートを起動し、リソースが外部に公開されているインスタンスに注意を喚起します。  

リソースの変更から、特権昇格の試み、データストアからの流出まで、Detectは死角のないカバー範囲を保証します。Vectraのセキュリティ主導のAIを使用して、Detectは、想定される役割のチェーンを介して行動する場合でも、すべてのアクションをプリンシパルに帰属させ、アクティビティとそれによるプリンシパルが悪意あるものとみなされるべきかどうかを判断します。つまり、SOCアナリストは、侵害されたプリンシパルを特定するために無駄な時間を費やす必要はありません。  

さらに、Detectは、Instant Investigations機能を使用して、疑わしいアクティビティの発生時にハイライトされた、プリンシパルが実行していたアクションに関する重要なコンテキストを提供します。これには、使用したサービス、引き受けたロールの履歴、プリンシパルが活動していた地域などの貴重な洞察が含まれます。従来は何時間もかけて調べていた情報が、Instant Investigationsを使えば、ボタンをクリックするだけで入手できるのです。

クラウドフットプリントが飛躍的に拡大する中、攻撃者がクラウド環境に侵入し、バックドアを作成して持続性を確立するためには必要となるのは、たった一つの開口部です。Log4Jは、クラウド環境を危険にさらすために攻撃者が利用するさまざまな脆弱性の中で、最初の問題ではなく、最後でもありません。インフラストラクチャは、何十ものサービスを含む非常に複雑なものであり、最新のDevOpsパイプラインでは、常に変化しています。スピードと敏捷性が増すにつれ、セキュリティ問題が発生するリスクも高まります。このような攻撃ベクトルを早期に発見することは、リスクを軽減し、賢明な対応戦略を促進する上で極めて重要です。クラウドの導入がかつてないペースで進んでいる今、SOCに適切なツールを装備することの重要性は、いくら強調してもし過ぎることはありません。ぜひ、Detectの詳細をご覧になり、無料トライアルで実際にご体験ください!

この記事は「Log4J Won’t Be the Last Exploit, So Let’s Make Sure You’re Ready」の翻訳版となります。