米国時間2021年12月9日に公開された当時ゼロデイ脆弱性であったJavaのログ出力ライブラリ「Apache Log4j」上に存在する脆弱性「Log4Shell」(CVE-2021-44228)の影響により、Apache HTTP ServerのようなオープンソースのWebサーバを狙うサイバー攻撃が急増しました。攻撃者は、人々がWebサーバに依存していることを利用して、リモートコード実行(RCE)、アクセス制御におけるバイパス、サービス拒否(DoS)攻撃などを行ったり、侵害したサーバを乗っ取って暗号資産(旧:仮想通貨)を不正に採掘(マイニング)したりします。
サイバー攻撃から企業を守るには、ベンダがリリースした修正プログラム(パッチ)を適時適切に展開するだけでは不十分な場合があります。このため、ソフトウェア構成分析(SCA)を用いて、ソフトウェアサプライチェーンの各レイヤに内在する問題・課題を見つけ出し対処することが、2022年には必須となります。
続きを読む【追記情報:2021年12月21日(火)】Log4j2の新バージョン2.17.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。その他、トレンドマイクロ製品による保護の内容の更新を追記しました。
【追記情報:2021年12月16日(木)】Log4j2の新バージョン2.16.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。
【追記情報:2021年12月15日(水)】トレンドマイクロ製品による保護の内容の更新を追記しました。
【追記情報:2021年12月14日(火)】トレンドマイクロ製品による保護の内容の更新、およびトレンドマイクロ製品によるデモ動画(英語)のリンクを追記しました。
【追記情報:2021年12月13日(月)】一般的な緩和策の詳細、およびトレンドマイクロ製品による保護の内容を追記しました。
【追記情報:2021年12月12日(日)】当該脆弱性の詳細情報と検知状況を追記しました。
当該記事の内容は2021年12月21日(火)時点の情報をもとにしており、今後更新される可能性があります。情報に更新があった場合は本記事を適宜更新いたします。
米国時間2021年12月9日、Apache Log4j2ログ出力ライブラリの複数のバージョンに影響を与える深刻なゼロデイ脆弱性情報が公開されました。CVE-2021-44228として登録されたこの脆弱性は、様々なブログやレポートで「Log4Shell」と呼ばれています。この脆弱性が悪用されると、影響を受ける環境で特定の文字列をログに記録することにより、任意のコードを実行(RCE:Remote Code Execution)される可能性があります。
続きを読む「ゼロデイ攻撃」は、その時点ではまだ修正プログラム(パッチ)が公開されていない脆弱性を利用するサイバー攻撃です。つまり、その時点では根本的な解決方法がない状態での攻撃ということであり、企業組織は、ゼロデイ攻撃によって多大な影響を受ける可能性があります。多くの場合、パッチが公開されるまでは、セキュリティ上の欠陥を悪用しようとするサイバー犯罪者と、セキュリティ上の欠陥を修正するためにパッチを開発するソフトウェアベンダあるいは開発者間での競争劇となります。
本ブログ記事は、ゼロデイ脆弱性について企業組織が知っておくべきこと、つまり、ゼロデイ脆弱性とは何か、そして、ゼロデイ脆弱性がどのように悪用されるかについて詳述します。企業組織はゼロデイ脆弱性について知り置くことで、ゼロデイ脆弱性が悪用されるリスクや脅威を軽減させるための対策につなげることができます。
続きを読む先日の記事でもまとめたように、最近のサイバー犯罪では、フィッシング詐欺など利用者をだます手口が攻撃の中心となっているように見えます。ただしそれと同時に、攻撃に利用可能な脆弱性が存在する場合、サイバー犯罪者は躊躇なく脆弱性を利用した攻撃を行うこともわかっています。2020年はまだ半月が過ぎただけですが、この短い期間に2つの脆弱性に注目が集まっています。1つは「CVE-2019-19781」、もう1つは「CVE-2020-0601」です。
続きを読むMicrosoft Internet Information Services(IIS)6.0 に、バッファオーバーフローのゼロデイ脆弱性「CVE-2017-7269」が確認されました。PROPFIND リクエストのヘッダー「IF」の検証不備に起因するものです。
続きを読むAdobeは、2016年4月5日(米国時間)、セキュリティアドバイザリを公開。4月7日(米国時間)、Adobe Flash Player に存在するゼロデイ脆弱性「CVE-2016-1019」に対応する緊急の更新プログラムをリリースしました。問題の脆弱性の影響を受けるバージョンは、20.0.0.306およびそれ以前のバージョンとなり、トレンドマイクロでは、脆弱性攻撃ツール(エクスプロイトキット)である「Magnitude Exploit Kit」が攻撃に利用可能であることも確認しています。利用者は、直ちに更新プログラムを適用してください。
続きを読むAdobe は、2015年6月23日(米国時間)、同社 Flash Player のブラウザプラグインに存在するゼロデイ脆弱性「CVE-2015-3113」に対応するセキュリティ情報「APSB15-14」を公開しました。また、問題の脆弱性が標的型サイバー攻撃においてすでに利用されており、1)Windows 7 およびそれ以前の OS に対応する Internet Explorer(IE)、2)Windows XP の FireFox が標的となっているとして、注意を促しています。
この深刻な脆弱性「CVE-2015-3113」が利用されると、攻撃者により影響を受けるシステムが制御される恐れがあります。影響を受けるバージョンは以下のとおりとなります。
