我々は、Contrast Assess(IAST)、Contrast SCA、Contrast Protect(RASP)を使用し、何千ものアプリケーションを監視しているため、他社とは異なるデータを持っています。もちろん、我々のデータは、他社のデータと同様に、誰が何を測定したかによって偏りがあります。これらのデータは主にセキュリティプログラムを有している企業が運営するwebアプリケーションの状況を反映しています。
開発者はログを記録のためにどのようなライブラリを利用しているか?
結果は以下のデータとなります:
- 64% パッケージ log4j2
- 26% パッケージ log4j1
- 47% パッケージ logback
- 20%のアプリケーションは、JVMに組み込まれたロガーを使用しているか、または適切なロギングライブラリを使用していない
この数字を足すと100%以上になるということにすぐに気付くでしょう。30%のアプリケーションが1つ以上のロギングライブラリを使用していることは、我々にとって驚くことではありませんでした。これは依存関係の多くが独自にログの呼び出しをするため、結局は一時的にそのログの依存関係を持ち込んでしまうために発生します。
そのため、我々のデータではLog4j2、Log4j1、Logbackを複数利用するアプリケーションがあっても違和感はありません。多くのアプリケーションは、何百もの依存関係を持っています。ヨーク大学のあるアプリケーションのログの状態の調査によると、Hadoopパッケージ6のロギングユーティリティとIntelliJパッケージが12ありました。実環境では信じられないことが起こっています。
(slf4jがどこにあるのか疑問に思うのではないでしょうか。slf4jは、実際にログへ物理的な書き込みを行うライブラリに必要となる便利なメソッドを備えたラッパーとなります。そして、その「実際の」ログ保存機能は我々が測定に使用しているものです。)
Log4Shellの脆弱性はどの程度広がっているのか?
DR:かなり深刻な状況です。我々が監視しているJavaアプリケーションの約58%で、Log4j2を含む脆弱性のあるバージョンがパッケージ化されています。比較的まれなケースであるかと思われますが、Log4j1をパッケージ化するアプリケーションの26%の一部は、JMSAppenderを使用している場合にも脆弱になります。パッケージという言葉を何度も強調したのは、そのためです。
どう確認してみても非常に悪い数値に見えます。しかし、実際のところそれらの数字が示唆するほど悪くはありません。
SCAツールは問題を著しく過剰に報告している
そのデータにより、エージェント型SCA製品(Contrast SCA)と依存ファイルやレポジトリを静的な状態で分析するSCA製品(他社のSCA)の違いが解っています。
SCAの測定は、エージェント型製品の方がはるかに精度が高いという点がいくつか挙げられます。
- 多くの依存関係は、検証用のみ、または一時的なものであり、実際にはアプリケーションに組み込まれていません。
- 多くの依存関係は、アプリケーションに組み込まれたとしても、実際には使用されていません。
このことは、我々のデータにもしっかり反映されています。執筆時点では、Javaアプリケーションの58%が脆弱なバージョンをパッケージ化していましたが、実際にLog4j2を使用しているのは37%に過ぎません。これは、今年初めに発表した「OSSの現状」のレポートと一致しています。いずれにせよ、何千ものアプリケーションを追跡して修正する必要がある場合、エージェント型SCA製品(Contrast SCA)による36%以上の工数削減は非常に大きな意味を持ちます。また、このデータは待機状態のSCAツールが、アプリケーションに含まれなかった依存関係をどこまで調査できるかの違いは調査されていないため、実際の差はかなり大きくなる可能性があります。
例えば、我々が監視しているアプリケーションの11%は脆弱性のあるLog4j2をパッケージ化して利用していますが、実際にはlogbackしか使っていません。これらのアプリケーションはある日突然変更される場合に備えて、アップデートしておくべきです。
以前の記事で紹介したように、Contrast Protectはこの攻撃の存在を誰も知らないうちに防御していました。可能な限り、2.16.0にアップデートして頂きたいと思います。今後数日の間で、我々は最も高いリスクに注力し、「枝を剪定する」ような分析が実施出来ることを素晴らしいと感じています。
もし、Javaアプリケーションを攻撃 (Log4Shellやその他の多くの何十もの脆弱なクラスを含む) から防御が可能な、我々の無料のトライアルにご興味がありましたら、いつでもご連絡頂けますと幸いです。
>お問い合わせはこちらから
著者:
Arshan Dabirsiaghi
共同創業者 兼 チーフサイエンティスト
Arshanは熟練したセキュリティ研究者であり、10年以上にわたって大企業を中心としたアプリケーションセキュリティに関するアドバイスを実施してきました。また、Arshanは、過去AntiSamy や JavaSnoop など、一般的に普及しているアプリケーションセキュリティツールをリリースしています。
