Apache Log4j(CVE-2021-44228) の対応について

Apache Log4jに存在する任意のコード実行の脆弱性(CVE-2021-44228)について、当社取り扱いの対応製品をまとめています。
Log4jに対する要件(課題)にあわせてケース別に対策ソリューションをご紹介します。

なお、影響、対策など脆弱性の詳細については、JPCERT/CCIPA(情報処理推進機構)をご参照ください。

Log4jの利用有無が不明であったり、管理外サーバーの存在を否定できない状況では、資産の把握も重要です。把握した資産に対しては、脆弱性チェックを実施することで、対策の必要性を確認できます。

Log4jが組み込まれているのは把握しているが、システムを止められない、パッチをあてるにも検証に時間を要する場合、攻撃経路であるNW周りを強化することが先決です。

新たな脅威に備えるには、Webアプリケーションに特化したセキュリティ対策やサーバー自身へのセキュリティ対策も有効です。

本脆弱性に対する攻撃は、社外からだけでなく、マルウェア感染したPCから社内で攻撃されることもあり得ます。PCへの対策としてEDRも考えられますが、感染PCからの攻撃を抑止させるために社内NWに対しUTMを導入する手法もあります。

対応ソリューション

ケース1脆弱性のあるLog4jを導入しているか調査したい

取り扱い製品名 対応状況 具体的な対策内容 保護対象システムの配置
オンプレ クラウド
(IaaS/PaaS)
インターネット公開資産洗い出し、脆弱性チェック CyCognito CVE-2021-44228の脆弱性のあるIT資産を外部から診断、洗い出しが可能
専用の「Log4j Dashboard」にて脆弱性を持つIT資産の状況確認が可能
メニューから「Log4j Advisory」を選択しダッシュボードを表示
IaaS/PaaS上の資産の脆弱性チェック Orca Security CVE-2021-44228の脆弱性のあるIT資産の検出が可能 Orca SecurityはAWS、Azure、GCP上でlog4jを使っているお客さまのアプリケーションとワークロードを検出することが可能(※)
アプリケーション、ワークロードを停止した状態でも脆弱ライブラリの使用を検出できるのが特徴
※ただしlog4jのソースコードを流用・改変したライブラリは検出不可

ケース2脆弱性のあるLog4jを導入しているが、
すぐにバージョンアップや回避策を実施できない

取り扱い製品名 対応状況 具体的な対策内容 保護対象システムの配置
オンプレ クラウド
(IaaS/PaaS)
FW/UTM Fortinet FortiGate CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 一般的なF/Wポリシーで当該IPSシグネチャを適用

(1) IPSシグネチャVer 19.215以降がインストールされていることを確認(未適応の場合は、最新のシグネチャへの更新を行う)
(2) 検知遮断したいF/Wポリシーに、当該IPSシグネチャを含むIPSの設定を行う。
FW/UTM Palo Alto Networks
次世代ファイアウォール
CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 一般的なF/Wポリシーで当該脅威IDを有効化

(1) Threat Prevention ライセンスのApplication and Threat content update 8502以降がインストールされていることを確認(未適応の場合は、最新のシグネチャへの更新を行う)
(2) 検知遮断したいセキュリティポリシールールに、脅威ID:91991、91994、および91995 を適用する設定を行う。

(仮想アプライアンス)

FW/UTM Juniper Networks SRXシリーズ CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 一般的なF/Wポリシーで当該IPSシグネチャを適用

(1) IPSシグネチャ Ver 3444 以降がインストールされていることを確認
(2) 検知/遮断したいF/Wポリシーに、シグネチャ名:HTTP:APACHE:LOG4J-JNDI-MGNR-RCE または、このシグネチャを含むグループを適用する。

(仮想アプライアンス)

ケース3今後Log4jのような脆弱性発見時の脅威に備えたい

取り扱い製品名 対応状況 具体的な対策内容 保護対象システムの配置
オンプレ クラウド
(IaaS/PaaS)
WAF Imperva WAF Gateway CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 (1) ThreatRadar利用の場合
「Emergency Feed」のポリシーを有効化かつサーバーグループへ適用することで利用可能(デフォルトでは無効)
※ThreatRadarの利用は、オプションライセンスの購入が必要

(2) ADCコンテンツ利用の場合
「Recommended Signatures Policy for Web Applications」の「Recommended for Blocking for Web Applications」に対応シグネチャが追加済み(デフォルトで有効かつブロックの動作となる)
※最新シグネチャへ更新することで適用される
※Imperva WAF Gateway単体で対応可能

(3) カスタムシグネチャ利用の場合
メーカーのサポートページに記載の手順でカスタムシグネチャを作成、適用することで検知・対応可能
※Imperva WAF Gateway単体で対応可能

(仮想アプライアンス)

WAF Imperva Cloud WAF CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 デフォルトのWAFルール「Illegal Resource Access」にて設定済みのアクション(検知/ブロック/無検知)に応じた対応が可能
IaaS/PaaS上の資産の脆弱性チェック・対策 Palo Alto Networks Prisma Cloud CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能
攻撃発生前でも、ホスト・コンテナが脆弱なLog4jパッケージ(またはJARファイル)を保持していることを検出可能
(1) Prisma Cloud Compute Defender エージェントをインストールしている場合は、自動的に脆弱なLog4jパッケージ(またはJARファイル)を検出可能
(2) カスタムルールを適用し対象アプリケーションへの通信遮断が可能

https://www.paloaltonetworks.com/blog/prisma-cloud/log-4-shell-vulnerability/

Webアプリへの攻撃防御 HUMAN
Bot Defender
Webサイトに対してCVE-2021-44228の脆弱性を自動スキャンするリクエストのブロックが可能 特別な設定は不要
脆弱性の自動スキャンのリクエストをAIが判断し自動的にブロック
サーバーへの攻撃防御 Trend Micro Cloud One Workload Security / Trend Micro Deep Security CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 侵入防御(DPI)ルール(ルールID: 1011242)を適用
サーバーのEDR対策 Fortinet FortiEDR CVE-2021-44228を悪用する攻撃から保護可能 Log4jの脆弱性を悪用し配信されるペイロードを監視しブロック可能
また、Log4jの脆弱性に関連するJARファイルの脅威ハンティングが可能
サーバーのEDR対策 Palo Alto Networks Cortex XDR Prevent CVE-2021-44228を悪用する攻撃から保護可能 エージェントにコンテンツを適用

(1) Linuxはエージェントソフトをインストールし、コンテンツ290-78377を適用することで、自動的に検知し保護が可能
(2) Windows環境は、振る舞い検知機能で自動的に検知保護が可能
開発アプリケーションのソースコード(またはバイナリ)に対する脆弱性チェック BlackDuck 攻撃発生前に、ソフトウェア・アプリケーションが脆弱なLog4jパッケージ(またはJARファイル)を保持していることを検出可能

(1) 対象のソフトウェア・アプリケーションのソースコード(またはバイナリ)をスキャンすることで自動的に脆弱なLog4jパッケージ(またはJARファイル)を検出可能
(2) SBOM(ソフトウェア部品表)作成や脆弱性アラートの機能によって今後発生する同様のオープンソース由来の脆弱性に備えることが可能
(3) 日々、専門のセキュリティチームが脆弱性情報を収集し、詳細な修正方法や回避策を通知
深刻度のスコアや該当プロジェクトの検索など、影響範囲特定のための種々の詳細情報を提供

※システムのソースコードが必要で配置は問わない

開発アプリケーションのソースコードに対する脆弱性チェック WhiteSource 攻撃発生前に、ソフトウェア・アプリケーションが脆弱なLog4jパッケージ(またはJARファイル)を保持していることを検出可能

(1) 対象のソフトウェア・アプリケーションのソースコードをスキャンすることで自動的に脆弱なLog4jパッケージ(またはJARファイル)を検出可能
(2) SBOM(ソフトウェア部品表)作成や脆弱性アラートの機能によって今後発生する同様のオープンソース由来の脆弱性に備えることが可能

※システムのソースコードが必要で配置は問わない

開発アプリケーションのソースコードに対する脆弱性チェック FOSSA 攻撃発生前に、ソフトウェア・アプリケーションが脆弱なLog4jパッケージ(またはJARファイル)を保持していることを検出可能

(1) 対象のソフトウェア・アプリケーションのソースコードをスキャンすることで自動的に脆弱なLog4jパッケージ(またはJARファイル)を検出可能
(2) SBOM(ソフトウェア部品表)作成や脆弱性アラートの機能によって今後発生する同様のオープンソース由来の脆弱性に備えることが可能
(3) パッケージマネージャーを用いて大量にライブラリを使っている場合にもすべての依存関係を可視化して脆弱なライブラリを効率的に対策可能

※システムのソースコードが必要で配置は問わない

その他Log4jの脆弱性を攻撃するBot化した社内PCからの防御

取り扱い製品名 対応状況 具体的な対策内容 保護対象システムの配置
オンプレ クラウド
(IaaS/PaaS)
FW/UTM Fortinet FortiGate / Fortinet FortiWiFi CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 一般的なF/Wポリシーで当該IPSシグネチャを適用

(1) IPSシグネチャVer 19.215以降がインストールされていることを確認(未適応の場合は、最新のシグネチャへの更新を行う)
(2) 検知遮断したいF/Wポリシーに、当該IPSシグネチャを含むIPSの設定を行う。
FW/UTM Palo Alto Networks Prisma Access CVE-2021-44228を悪用する攻撃を検出して通信遮断が可能 一般的なF/Wポリシーで当該脅威IDを有効化

(1) Application and Threat content update 8502以降がインストールされていることを確認(未適応の場合は、最新のシグネチャへの更新を行う)
(2) 検知遮断したいセキュリティポリシールールに、脅威ID:91991、91994、および91995 を適用する設定を行う。

トータルセキュリティソリューション コンテンツ一覧