2021年12月16日 11時00分セキュリティ

中国・イラン・北朝鮮・トルコの支援を受けたハッキンググループがLog4jのゼロデイ脆弱性「Log4Shell」を悪用しているとMicrosoftが発表

2021年12月14日、MicrosoftがJavaのLog4jライブラリに存在していたリモートコード実行を可能にするゼロデイ脆弱性「Log4Shell」が中国・イラン・北朝鮮・トルコに関連する政府系ハッキンググループによって用いられることを確認したと発表しました。さらに同日にはアメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が行政各省に対してLog4Shellの修正パッチを12月24日までに適用するように通達を出しました。

Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation - Microsoft Security Blog
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

CISA tells US federal agencies to mitigate Log4j by Dec 24 • The Register
https://www.theregister.com/2021/12/15/log4j_latest_cisa/

Hackers Backed by China Seen Exploiting Security Flaw in Internet Software - WSJ
https://www.wsj.com/articles/hackers-backed-by-china-seen-exploiting-security-flaw-in-internet-software-11639574405

Log4ShellはJavaのログ出力ライブラリ「Apache Log4j」に発見された脆弱性。Apache Log4jは広く利用されていることからLog4Shellは過去に類を見ないほどのレベルで各方面に深刻な影響を与えるとみられており、セキュリティ関連組織や報道機関が2021年12月10日に公開された修正パッチを適用するように広く警告を発しています。

JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか？ - GIGAZINE

このLog4Shellに関して、Microsoftが新たに「中国・イラン・北朝鮮・トルコ政府系ハッキンググループがLog4Shellを突いた攻撃を行っていると確認した」と発表しました。発表の中で例示として挙げられているのはイランのランサムウェア攻撃グループ「PHOSPHORUS」と中国のハッキンググループ「HAFNIUM」で、PHOSPHORUSはLog4Shellエクスプロイトを取得して攻撃用に改変を行っており、HAFNIUMはLog4Shellを突いてフィンガープリントシステムの試験に関連するDNSサービスに対する攻撃を行っているとのこと。これらの攻撃は、Microsoftの脅威インテリジェンスセンター(MSTIC)、Microsoft 365 Defender脅威インテリジェンスチーム、検知＆レスポンスチーム(DART)並びに、カリフォルニア州のサイバーセキュリティ企業RiskIQによって検出・追跡が行われました。

これに対して在ワシントン中国大使館の報道官は「中国政府はあらゆる種類のサイバー攻撃に反対しており、Log4Shellを最初に報告したのは中国のセキュリティチームだった」と回答したと報じられています。

一連の問題に対し、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は12月14日付けでLog4Shell専用ページを開設。Log4Shellの影響を受けているとみられるソフトウェアベンダーの一覧などの情報を随時更新して掲載しています。

Apache Log4j Vulnerability Guidance | CISA
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance