Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
『Apache Log4j 脆弱性の影響緩和のために今できること』
Search
Secure Sky Technology
December 14, 2021
Technology
1
6.1k
『Apache Log4j 脆弱性の影響緩和のために今できること』
情報システム部門・IT管理者、ITに関わるすべての方向け
『Apache Log4j脆弱性の影響緩和のために今できること』
Secure Sky Technology
December 14, 2021
Tweet
Share
More Decks by Secure Sky Technology
See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
sst
0
260
Webセキュリティ技術のキャッチアップ
sst
6
4.5k
脆弱性診断の移り変わり
sst
0
520
2020年度SST入社式 CTOからのメッセージ
sst
0
900
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
sst
0
810
サイバー攻撃者による不正な仮想通貨マイニングの実態
sst
0
480
HTTP2ことはじめ
sst
0
910
我々はAWS WAFを研究している
sst
0
1.6k
Other Decks in Technology
See All in Technology
株式会社ログラス − エンジニア向け会社説明資料 / Loglass Comapany Deck for Engineer
loglass2019
3
32k
GitHub Copilot のテクニック集/GitHub Copilot Techniques
rayuron
39
17k
プロダクト開発を加速させるためのQA文化の築き方 / How to build QA culture to accelerate product development
mii3king
1
290
LINEスキマニにおけるフロントエンド開発
lycorptech_jp
PRO
0
340
マイクロサービスにおける容易なトランザクション管理に向けて
scalar
0
190
非機能品質を作り込むための実践アーキテクチャ
knih
5
1.6k
生成AIのガバナンスの全体像と現実解
fnifni
1
220
DUSt3R, MASt3R, MASt3R-SfM にみる3D基盤モデル
spatial_ai_network
2
280
Work as an App Engineer
lycorp_recruit_jp
0
380
.NET 9 のパフォーマンス改善
nenonaninu
0
1.4k
React Routerで実現する型安全なSPAルーティング
sansantech
PRO
2
290
ソフトウェア開発における「パーフェクトな意思決定」/Perfect Decision-Making in Software Development
yayoi_dd
0
210
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.2k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.9k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.3k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
4 Signs Your Business is Dying
shpigford
182
21k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Adopting Sorbet at Scale
ufuk
73
9.1k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Agile that works and the tools we love
rasmusluckow
328
21k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Embracing the Ebb and Flow
colly
84
4.5k
Transcript
Secure Sky Technology Inc. 【Webセキュリティ企業による緊急公開資料】 情シス・IT管理者 ITに関わるすべての方向け 『Apache Log4j 脆弱性の
影響緩和のために今できること』 株式会社セキュアスカイ・テクノロジー 【Webセキュリティ企業による緊急公開資料】
Secure Sky Technology Inc. はじめに 2021年12月9日より世界的に報告され始めたApache Log4j の任意のコード実行の脆弱性 [CVE-2021-44228]の危険性および緊急性を踏まえ、被害を受ける可能性を感じているが情報 収集や対策を早急に行う必要に迫られている情報システム部門・IT管理者と、ITに関わるすべ
ての方に向けて、本脆弱性の注意喚起と影響緩和を目的とした『Apache Log4jの影響緩和のた めに今できること』を緊急公開いたしました。 本資料は、現時点で考えられる対応について、まとめたものであり、「これだけやれば大丈 夫」ということではなく、「今できること」をお伝えするものです。 現在進行形で状況が変化しているため、各ベンダーやJPCERT/CCとIPAなど信頼できる情報源 の最新情報を随時確認してください。
Secure Sky Technology Inc. アジェンダ • 今、何が起きているのか • 「Apache Log4j」の脆弱性による影響の大きさ
• 影響を受ける範囲は? • 被害を受けたらどうなるの? • 情シス・IT管理者が今できること [その1]〜[その3] • ITに関わるすべての方(個人)が今できること • 大事なお願い
Secure Sky Technology Inc. 今、何が起きているのか • 2021年12月10日、Javaを利用したシステムで広く利用されているログ記録用 のライブラリ「Apache Log4j」に非常に危険度の高い脆弱性があることが判 明*し大きな問題になっている
• Javaは幅広いシステムやサービス、製品で利用されており、世界中のITインフ ラに影響が及んでいるため、インターネットを利用するすべての方に関わる影 響範囲の大きい出来事が現在進行中で進んでいる * 参照元(JPCERT/CC):https://www.jpcert.or.jp/at/2021/at210050.html
Secure Sky Technology Inc. 「Apache Log4j」の脆弱性による影響の大きさ • 脆弱性の深刻度は、CVSS*1スコア基準値で最大の「10.0」緊急(Critical) • 特別なスキルを持たない攻撃者でも容易に攻撃がおこなえる
• 対象となるシステムが多岐にわたる • 攻撃後に自由に悪用できる • すでに国内企業において、被害*2が確認されている • 企業規模に関係なく被害に遭う可能性がある • 今後もより広い範囲で影響が出ることが予想される *1 参照元(IPA):https://www.ipa.go.jp/security/vuln/CVSS.html *2 参照元(IPA):https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
Secure Sky Technology Inc. • Javaで開発されている非常に多くのシステム・ソフトウェア* ◦ JPCERT/CCとIPAの最新情報を随時チェックしよう • サーバー側だけでなく、企業内のPCや個人のPCで利用するソフトウェア
• 公開されているサーバーだけではなく、ログや通信内容を介して内部ネット ワーク上のサーバーや機器も波及的に影響が広がる可能性がある 影響を受ける範囲は? * 影響受ける製品に関する参考ページ(BlueTeam CheatSheet * Log4Shell*) :https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 例) ・Webサイト/Webサービス/Webシステム ・インフラ、企業内の基幹システムやPC ・オンプレミスやクラウド環境などサーバーサイド ・IoT機器や家庭内のPC ・企業内のログ監視システム、ネットワーク機器
Secure Sky Technology Inc. 被害を受けたらどうなるの? • 任意コード実行が可能なため、あらゆる攻撃がおこなえる • 該当コンピュータの乗っ取り、マルウェア配布、情報漏えい、仮想通貨マイニ ングなど、あらゆる脅威の可能性がある
• 取引先への詐欺メールの送信や、ランサムウェアによる社内情報資産の暗号化 など、事業継続への大きな被害もあり得る • 自社への被害により取引先にも影響をあたえる可能性がある
Secure Sky Technology Inc. 情シス・IT管理者が今できること [その1] Apache Log4jがどこで使われ いるかの判断は難しいため、社 内のシステムやソフトウェア、
機器のリリース情報を確認し、 以下についてベンダーや開発者 に確認する ✔ 本脆弱性の影響を受けるか ✔ 対策されたバージョンが提供されて いるか ✔ 対応方法がない場合の回避方法 脆弱性のあるバージョンを 使っていた場合は、すでに攻 撃されていることを前提に調 査を開始する ✔ ログファイルに痕跡が残っていないか ✔ 不審なファイルやプロセスが動いていな いか、不審な通信が発生していないか 利用しているクラウドサービ スの公式情報、サポート情報 を確認する ✔ 本脆弱性の影響を受けるか ✔ 影響受ける場合の対応方法
Secure Sky Technology Inc. 情シス・IT管理者が今できること [その2] • 社内への注意喚起 • 全員に関係する重大な脆弱性であることを改めて周知
• 社内で利用中のソフトウェア・クラウドサービスの確認 • 提供元からの情報収集と対策 • 収集した情報の集約依頼 • 改めて不審な受信メールやリンクへの注意喚起 • 被害の可能性に気づいたときの連絡体制の確認
Secure Sky Technology Inc. 情シス・IT管理者が今できること [その3] • 取引先への協力依頼内容 • 現時点での自社の対応状況の共有
• 今後新たな情報が出てきた場合の共有方法のお知らせ • 本脆弱性に関して取引先内で影響があった場合の情報提供依頼 • 自社ならびに取引先の双方で影響があった場合の対応方法共有(システ ム停止等の可能性について事前共有)
Secure Sky Technology Inc. ITに関わるすべての方(個人)が今できること • 不審なメールやリンクをむやみにクリックしない • 知人からのメールであっても、いつも以上の注意が必要! •
ご自身のPCで利用しているソフトウェアを更新する • 本脆弱性は広範囲に影響が出る可能性があるため、あらゆる攻撃に対して、 いつも以上に注意を払う必要がある
Secure Sky Technology Inc. 大事なお願い 本脆弱性の影響範囲は広く、どこまでの影響があるか正確な判断が難しい状態です。 本資料は、現時点で考えられる対応について、まとめたものであり、「これだけやれば大丈夫」と いうことではなく、「今できること」をお伝えするものです。 現在進行形で状況が変化しているため、各ベンダーやJPCERT/CCとIPAなど信頼できる情報源の最 新情報を随時確認してください。
最後に、本脆弱性による被害拡大防止と影響緩和の一助となりますようご活用ください。あわせ て、本資料を必要とするより多くの方へお伝えいただけると幸いです。
Secure Sky Technology Inc. 本資料提供元 社名 株式会社セキュアスカイ・テクノロジー [SST] 設立 2006年 事業
Webアプリケーションに特化したセキュリティサービス クラウド型WAFサービス「Scutum」、脆弱性診断サービス、セキュリティ教育・支 援サービス、セキュリティコンサルティング、その他 代表取締役 大木 元(OOKI Hajime) 本社所在地 東京都千代田区神田司町2-8-1 PMO神田司町2F 福岡ラボ 福岡県福岡市中央区天神1-9-17 福岡天神フコク生命ビル14F URL https://www.securesky-tech.com/ 「インターネットを安全にしたい」という想いを原点に、SSTは2006年に設立された Webアプリケーションセキュリティの専門企業です。