Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
『Apache Log4j 脆弱性の影響緩和のために今できること』
Search
Secure Sky Technology
December 14, 2021
Technology
1
6.1k
『Apache Log4j 脆弱性の影響緩和のために今できること』
情報システム部門・IT管理者、ITに関わるすべての方向け
『Apache Log4j脆弱性の影響緩和のために今できること』
Secure Sky Technology
December 14, 2021
Tweet
Share
More Decks by Secure Sky Technology
See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
sst
0
280
Webセキュリティ技術のキャッチアップ
sst
6
4.6k
脆弱性診断の移り変わり
sst
0
540
2020年度SST入社式 CTOからのメッセージ
sst
0
920
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
sst
0
840
サイバー攻撃者による不正な仮想通貨マイニングの実態
sst
0
490
HTTP2ことはじめ
sst
0
940
我々はAWS WAFを研究している
sst
0
1.6k
Other Decks in Technology
See All in Technology
30→150人のエンジニア組織拡大に伴うアジャイル文化を醸成する役割と取り組みの変化
nagata03
0
350
データエンジニアリング領域におけるDuckDBのユースケース
chanyou0311
9
2.6k
完璧を捨てろ! “攻め”のQAがもたらすスピードと革新/20250306 Hiroki Hachisuka
shift_evolve
0
100
LINE NEWSにおけるバックエンド開発
lycorptech_jp
PRO
0
370
MLflowはどのようにLLMOpsの課題を解決するのか
taka_aki
0
130
サバイバルモード下でのエンジニアリングマネジメント
konifar
21
7.2k
20250304_赤煉瓦倉庫_DeepSeek_Deep_Dive
hiouchiy
2
130
What's new in Go 1.24?
ciarana
1
120
遷移の高速化 ヤフートップの試行錯誤
narirou
6
1.9k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership, regardless of position
madoxten
3
3.1k
AI自体のOps 〜LLMアプリの運用、AWSサービスとOSSの使い分け〜
minorun365
PRO
9
1.1k
AIエージェント時代のエンジニアになろう #jawsug #jawsdays2025 / 20250301 Agentic AI Engineering
yoshidashingo
9
4.1k
Featured
See All Featured
Facilitating Awesome Meetings
lara
53
6.3k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
21
2.5k
Stop Working from a Prison Cell
hatefulcrawdad
268
20k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.4k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.7k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
4
380
Making the Leap to Tech Lead
cromwellryan
133
9.1k
RailsConf 2023
tenderlove
29
1k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
27
1.9k
Site-Speed That Sticks
csswizardry
4
420
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
100
18k
Transcript
Secure Sky Technology Inc. 【Webセキュリティ企業による緊急公開資料】 情シス・IT管理者 ITに関わるすべての方向け 『Apache Log4j 脆弱性の
影響緩和のために今できること』 株式会社セキュアスカイ・テクノロジー 【Webセキュリティ企業による緊急公開資料】
Secure Sky Technology Inc. はじめに 2021年12月9日より世界的に報告され始めたApache Log4j の任意のコード実行の脆弱性 [CVE-2021-44228]の危険性および緊急性を踏まえ、被害を受ける可能性を感じているが情報 収集や対策を早急に行う必要に迫られている情報システム部門・IT管理者と、ITに関わるすべ
ての方に向けて、本脆弱性の注意喚起と影響緩和を目的とした『Apache Log4jの影響緩和のた めに今できること』を緊急公開いたしました。 本資料は、現時点で考えられる対応について、まとめたものであり、「これだけやれば大丈 夫」ということではなく、「今できること」をお伝えするものです。 現在進行形で状況が変化しているため、各ベンダーやJPCERT/CCとIPAなど信頼できる情報源 の最新情報を随時確認してください。
Secure Sky Technology Inc. アジェンダ • 今、何が起きているのか • 「Apache Log4j」の脆弱性による影響の大きさ
• 影響を受ける範囲は? • 被害を受けたらどうなるの? • 情シス・IT管理者が今できること [その1]〜[その3] • ITに関わるすべての方(個人)が今できること • 大事なお願い
Secure Sky Technology Inc. 今、何が起きているのか • 2021年12月10日、Javaを利用したシステムで広く利用されているログ記録用 のライブラリ「Apache Log4j」に非常に危険度の高い脆弱性があることが判 明*し大きな問題になっている
• Javaは幅広いシステムやサービス、製品で利用されており、世界中のITインフ ラに影響が及んでいるため、インターネットを利用するすべての方に関わる影 響範囲の大きい出来事が現在進行中で進んでいる * 参照元(JPCERT/CC):https://www.jpcert.or.jp/at/2021/at210050.html
Secure Sky Technology Inc. 「Apache Log4j」の脆弱性による影響の大きさ • 脆弱性の深刻度は、CVSS*1スコア基準値で最大の「10.0」緊急(Critical) • 特別なスキルを持たない攻撃者でも容易に攻撃がおこなえる
• 対象となるシステムが多岐にわたる • 攻撃後に自由に悪用できる • すでに国内企業において、被害*2が確認されている • 企業規模に関係なく被害に遭う可能性がある • 今後もより広い範囲で影響が出ることが予想される *1 参照元(IPA):https://www.ipa.go.jp/security/vuln/CVSS.html *2 参照元(IPA):https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
Secure Sky Technology Inc. • Javaで開発されている非常に多くのシステム・ソフトウェア* ◦ JPCERT/CCとIPAの最新情報を随時チェックしよう • サーバー側だけでなく、企業内のPCや個人のPCで利用するソフトウェア
• 公開されているサーバーだけではなく、ログや通信内容を介して内部ネット ワーク上のサーバーや機器も波及的に影響が広がる可能性がある 影響を受ける範囲は? * 影響受ける製品に関する参考ページ(BlueTeam CheatSheet * Log4Shell*) :https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 例) ・Webサイト/Webサービス/Webシステム ・インフラ、企業内の基幹システムやPC ・オンプレミスやクラウド環境などサーバーサイド ・IoT機器や家庭内のPC ・企業内のログ監視システム、ネットワーク機器
Secure Sky Technology Inc. 被害を受けたらどうなるの? • 任意コード実行が可能なため、あらゆる攻撃がおこなえる • 該当コンピュータの乗っ取り、マルウェア配布、情報漏えい、仮想通貨マイニ ングなど、あらゆる脅威の可能性がある
• 取引先への詐欺メールの送信や、ランサムウェアによる社内情報資産の暗号化 など、事業継続への大きな被害もあり得る • 自社への被害により取引先にも影響をあたえる可能性がある
Secure Sky Technology Inc. 情シス・IT管理者が今できること [その1] Apache Log4jがどこで使われ いるかの判断は難しいため、社 内のシステムやソフトウェア、
機器のリリース情報を確認し、 以下についてベンダーや開発者 に確認する ✔ 本脆弱性の影響を受けるか ✔ 対策されたバージョンが提供されて いるか ✔ 対応方法がない場合の回避方法 脆弱性のあるバージョンを 使っていた場合は、すでに攻 撃されていることを前提に調 査を開始する ✔ ログファイルに痕跡が残っていないか ✔ 不審なファイルやプロセスが動いていな いか、不審な通信が発生していないか 利用しているクラウドサービ スの公式情報、サポート情報 を確認する ✔ 本脆弱性の影響を受けるか ✔ 影響受ける場合の対応方法
Secure Sky Technology Inc. 情シス・IT管理者が今できること [その2] • 社内への注意喚起 • 全員に関係する重大な脆弱性であることを改めて周知
• 社内で利用中のソフトウェア・クラウドサービスの確認 • 提供元からの情報収集と対策 • 収集した情報の集約依頼 • 改めて不審な受信メールやリンクへの注意喚起 • 被害の可能性に気づいたときの連絡体制の確認
Secure Sky Technology Inc. 情シス・IT管理者が今できること [その3] • 取引先への協力依頼内容 • 現時点での自社の対応状況の共有
• 今後新たな情報が出てきた場合の共有方法のお知らせ • 本脆弱性に関して取引先内で影響があった場合の情報提供依頼 • 自社ならびに取引先の双方で影響があった場合の対応方法共有(システ ム停止等の可能性について事前共有)
Secure Sky Technology Inc. ITに関わるすべての方(個人)が今できること • 不審なメールやリンクをむやみにクリックしない • 知人からのメールであっても、いつも以上の注意が必要! •
ご自身のPCで利用しているソフトウェアを更新する • 本脆弱性は広範囲に影響が出る可能性があるため、あらゆる攻撃に対して、 いつも以上に注意を払う必要がある
Secure Sky Technology Inc. 大事なお願い 本脆弱性の影響範囲は広く、どこまでの影響があるか正確な判断が難しい状態です。 本資料は、現時点で考えられる対応について、まとめたものであり、「これだけやれば大丈夫」と いうことではなく、「今できること」をお伝えするものです。 現在進行形で状況が変化しているため、各ベンダーやJPCERT/CCとIPAなど信頼できる情報源の最 新情報を随時確認してください。
最後に、本脆弱性による被害拡大防止と影響緩和の一助となりますようご活用ください。あわせ て、本資料を必要とするより多くの方へお伝えいただけると幸いです。
Secure Sky Technology Inc. 本資料提供元 社名 株式会社セキュアスカイ・テクノロジー [SST] 設立 2006年 事業
Webアプリケーションに特化したセキュリティサービス クラウド型WAFサービス「Scutum」、脆弱性診断サービス、セキュリティ教育・支 援サービス、セキュリティコンサルティング、その他 代表取締役 大木 元(OOKI Hajime) 本社所在地 東京都千代田区神田司町2-8-1 PMO神田司町2F 福岡ラボ 福岡県福岡市中央区天神1-9-17 福岡天神フコク生命ビル14F URL https://www.securesky-tech.com/ 「インターネットを安全にしたい」という想いを原点に、SSTは2006年に設立された Webアプリケーションセキュリティの専門企業です。