0-day

LOG4J脆弱性

LOG4J脆弱性とは

Log4jはグローバルで何百万のコンピューターアプリケーションに使用されているプログラムライブラリ(既存のコード)です。このコードは2001年よりオープンソースで無償で提供され、幅広く使用されています。

Log4jは、アプリケーションがログ情報をファイルやデータベースに書き込む機能です。

Log4j脆弱性による影響

2021年12月9日、Log4jライブラリにより、機密情報にアクセスまたはコンピューターを遠隔操作出来ることが発見されました。

ハッカーはLog4jを悪用し、大企業や政府のシステムに侵入し始めています。世界的な影響範囲は計り知れません。

緊急対策が必要な理由

この脆弱性が晒されたシステムは、リモートの攻撃者によって簡単に悪用される可能性があります。攻撃は簡単に実行でき、世界中で最大30億のシステムが攻撃の可能性に晒されています。Log4jへのパッチがリリースされましたが、ほとんどの企業はコード内でLog4jの全てのインスタンスを把握することが出来ません。全てのシステムでパッチ適用を完了するには、工数と長い時間がかかります。今回の問題は、2017年にEquifaxに対して4億2500万ドル以上の罰金が科せられた情報漏洩問題よりも影響が大きいと言われています。

「Contrast Securityを導入前に、様々な静的アプリケーションセキュリティテスト(SAST)、ソフトウェア構成分析(SCA)、およびWAFソリューションを使用していましたがそれらのツールによる膨大な作業量に疲弊していました。Contrast Securityは、全てのツールが単一のプラットフォームに統合されているため、これまで把握出来なかった正確な状況を理解することが出来ました。単一のエージェントでインタラクティブなアプリケーションセキュリティテスト(IAST)とランタイムアプリケーションセルフプロテクション(RASP)を活用出来ることは、我々にとって大きなセールスポイントでした。プラットフォーム機能は競合他社よりも成熟しており、結果の管理、統合、および脆弱性対応が容易になりました。また、シームレスな導入プロセスにも感銘を受けました。一例として、Contrastは、最近見つかったLog4jの脆弱性をサーバーにパッチを適用したり更新したりすることなく、保護しています。

ブライアン・ブロートマン、 CISO
BACKBASE
CONTRAST によるLog4j2脆弱性対策 - デモ

Contrast Securityの共同創業者であるジェフ・ウィリアムズが、Contrastのセキュリティプラットフォームによって CVE-2021-44228 を引き起こす脆弱性を見つけて、いかに攻撃を阻止するかについてデモします。Log4jのバージョンをアップデートしたりWAFを使用する必要はありません。

今すぐ動画を観る(英語)

デモ
Contrast Securityは、新たなLog4j2脆弱性対策に注力

Contrast Securityのディレクターのエリック・コストロウが、ゼロデイ攻撃への取るべき対策についてお話しします。そして最善のアプローチによってどのように悪用を阻止するかご紹介します。

詳細へ(英語)

JAVA LOG4J2
Contrast Securityプラットフォーム

現在進行中のLog4jリモートコード実行の脆弱性などへの対応に最適な設計

cs-platform
Contrast Protect

ソフトウェアのアップグレードをせずに、本番環境におけるLog4jの脆弱性を即防御

cs-protect
Contrast AssessおよびContrast SCA

アプリケーション本番リリース前に、開発チームが脆弱性を検出し修正

cs-assess-sca

対策情報

LOG4J 対策ウェビナー

2022年1月13日(木)12:00 
2022年1月21日(金)12:00

本ウェビナーでは、Contrast Securityのセキュリティソリューションが如何に今回のLog4jに対する攻撃を当初より防ぐことが出来たのか、また今後生じ得る新たな脆弱性や攻撃に対して、どのような対策を講じるべきなのかを紐解きます。

詳細へ
[NEWS] Contrastは企業を当初よりLog4jから顧客企業を保護

プレスリリース:2021年12月21日

Contrastのアプリケーションセキュリティプラットフォームは、パッチを適用しなくとも
グローバル企業のLog4jを使用するアプリケーションを保護すると同時に、今後生じ得る攻撃からも防御可能。

詳細へ
Log4jのCVE対応ガイダンス更新[2.17へのアップグレード]

Apache Software Foundationは、CVE-2021-45105 に対応するための新たなlog4jのアップデート (version 2.17.0) の提供を開始しました。Contrastは、この安全な最新バージョンを使用することを推奨します。

詳細へ
Log4jのCVE対応ガイダンス更新

Apache Software Foundationは、バージョン 2.15.0以下のパッチではLog4Shellの修正に不十分であるとの情報を更新しました。新たにバージョン2.16.0へアップデートすることにより、これらの問題が解消されます。

詳細へ
新しいオープンソースツールにより、LOG4J脆弱性からサーバーを保護

Log4jが潜む脆弱なアプリケーションを検出及び検証し、保護することが出来る無償のオープンソース汎用ツール「SafeLog4j」をリリースしました。

詳細へ
数字で見るLog4Shell

我々は、Contrast Assess(IAST)、Contrast SCA、Contrast Protect(RASP)を使用し、何千ものアプリケーションを監視しているため、他社とは異なるデータを持っており、Log4Shellに関して興味深い数値が見られました。

詳細へ
WAFおよびRASPにおけるLog4Shell

Log4Shell に対してRASP(Runtime Application Self-Protection)の優れた有効性が証明されています。ContrastのRASP製品であるContrast Protectを利用されているお客様は、今回の様な脆弱性やリモートコードの実行(RCE)が発見される何年も前から、安全性を確保しています。

詳細へ

Contrastのセキュリティプラットフォームを活用することで、攻撃をリアルタイムに阻止可能です。今回のLog4j脆弱性対策への無償POVについてお問い合わせください。