Log4jのゼロデイ脆弱性「Log4Shell」を悪用する攻撃が急増中、中国政府の関与も疑われる

Javaのログ出力ライブラリであるApache Log4jで発見されたリモートコード実行のゼロデイ脆弱性「Log4Shell」を用いた攻撃が急激に増加しており、攻撃者の中には「中国政府が関連するハッカーの存在も確認された」というレポートをセキュリティ企業のCheck Point Softwareが公開しています。

The numbers behind a cyber pandemic – detailed dive - Check Point Software
https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/

Log4j vulnerability: Companies scramble to gird against hackers : NPR
https://www.npr.org/2021/12/14/1064123144/companies-scramble-to-defend-against-newly-discovered-log4j-digital-flaw

Hackers launch over 840,000 attacks through Log4J flaw | Ars Technica
https://arstechnica.com/information-technology/2021/12/hackers-launch-over-840000-attacks-through-log4j-flaw/

世界中で広く活用されているJavaのログ出力ライブラリであるLog4jに、リモートでコードを実行されてしまうゼロデイ脆弱性「Log4Shell」が存在することが明らかになっています。このゼロデイ脆弱性に対する修正パッチはすでに公開されているのですが、Log4jの利用範囲の広さからインターネット史上最も深刻な脆弱性のひとつである可能性も指摘されていました。

Log4Shellの詳細は以下の記事にまとめられています。

JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか？ - GIGAZINE

Log4Shellの存在が明らかになった2021年12月10日(金)以降、世界中の企業に対してLog4Shellを用いたサイバー攻撃が84万件以上発生していることが明らかになっています。Check Point Softwareによると、Log4Shellに関連する攻撃は10日から72時間で急増中で、あるタイミングでは1分間に100回以上の攻撃が検知されたそうです。Check Point Softwareによると、Log4Shellを用いたサイバー攻撃のほとんどが「コンピューターをリモートで制御して暗号資産をマイニングしたり、ボットネットの一部として利用したり、特定のウェブサイトに過剰なトラフィックを発生させたり、スパムを送信したり、その他の目的に使用できるコンピューターネットワークの一部として使用しています」とのこと。

また、Log4Shellを用いたサイバー攻撃を仕掛けている攻撃者のほぼ半分が既知の攻撃者であるとのこと。「既知の攻撃者」の中にはリモート制御したコンピューターをボットネットに変えるマルウェアの使用者や、サービス拒否攻撃などのリモート制御されたコンピューターを使用したネットワークである「Tsunami」や「Mirai」を利用するサイバー攻撃グループも含まれます。このほか、追跡が困難なデジタル通貨・Moneroをマイニングするソフトウェア「XMRig」を使用するグループも検知されました。

サイバーセキュリティ企業のMandiantで最高技術責任者を務めるCharles Carmakal氏によると、攻撃者の中には「中国政府が支援するハッカー」が含まれているとのこと。Carmakal氏はこれ以上の詳細を共有することを拒否していますが、サイバーセキュリティスタートアップ・SentinelOneの研究者も「中国のハッカーがLog4Shellを利用しているのを検知した」と語っています。

アメリカ国土安全保障省のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)のディレクターであるJen Easterly氏は、Log4Shellについて「私がキャリアの中で見てきたものの中で最も深刻な脆弱性のひとつ」とコメントしました。なお、Log4Shellに対しては、CISAとイギリスの国家サイバーセキュリティ・センターの両方が企業に向けて修正パッチの適用を促す警告を発しています。実際、AppleやAmazon、IBM、Microsoft、Ciscoといった大企業がLog4Shellの修正に対応しており、記事作成時点では主要企業から重大なセキュリティ侵害が生じたという報告はありません。

脆弱性診断ツールを開発するAcunetixのエンジニアリング責任者であるNicholas Sciberras氏は、「Log4Shellにより、攻撃者はほぼ無限の力を得ることができます。攻撃者は機密データの抽出、サーバーへのファイルアップロード、データの削除、ランサムウェアのインストール、他のサーバーへのピボットなどを実行可能です」と語り、攻撃を仕掛けることは「驚くほど簡単でしょう」「今後数カ月Log4Shellを悪用した攻撃は続くでしょう」とも述べています。