2022 年 1 月 21 日 Trevor Collins 著

Log4Shell を狙う攻撃は、その実行の容易性から、瞬く間にインターネット上に広まっていきました。ウォッチガードの脅威ラボでは、匿名化された脅威インテリジェンスデータ（お客様が送信に同意した場合に Firebox から送信されます）で、お客様の視点から攻撃サンプルを調査しています。このデータと分析を組み合わせることにより、インターネット上で実際に起こっている Log4j 攻撃のいくつかを独自に検証することができます。

ウォッチガードでは、Log4Shell が最初に公開されてから現在までのデータを検索して、攻撃の兆候を探りました。Log4J を標的とした最近の脆弱性としては、大きなものとして CVE-2021-44228、小さなものとして CVE-2021-45105 の 2 つが検出されましたが、後者は全検出数の 1％ に過ぎません。なお、前述の CVE とは無関係に log4j に最近検出された他の脆弱性について検索したものの、そちらは見つかっていません。

データを報告している Firebox の 12.6% がこの脆弱性を悪用しようとする攻撃者を確認し（そしてブロックに成功し）、合計 37,463 件が検出されたことが示されています。これは 12 月に検出された IPS 攻撃ファミリーの中でも第 5 位の件数となります。一見深刻ではないように見えますが、暗号化されたトラフィックをスキャンしているデバイスは 4 台に 1 台で、かつその内側でサービスをホストしていたデバイスはさらに少ないことが判明しています。Firebox の内側でサービスをホストしており、かつこの脆弱性をスキャンしたデバイスは、すべてではないにしても、ほぼすべてのデバイスが、関連するシグネチャを検出したものと思われます。この攻撃の検出はすべて暗号化された接続を介して行われた、ということが、機能を有効にしているデバイスから報告されています。デバイスの所有者によっては、SSL/TLSで暗号化されたトラフィック内の脅威を検査、および検出するためにウォッチガードが用意したビルトイン機能を有効にしていません。

ヨーロッパ、中東、アフリカ（EMEA）における検出数が最も多く、合計 22,784 件でした。北中南米（AMER）では 13,152 件が検出されました。アジア太平洋地域（APAC）では 1,527 件の検出がありました。国別では、ドイツが 10,502 件と最も多く、次いで米国が 10,147 件、イタリアが 2,723 件で上位 3 位を占めています。各地域の Firebox の台数を考慮した場合、AMERが 43％、EMEAが 33％、APACが 24％の割合で検出されています。

読者の皆さんに、改めてソフトウェアのアップデートについて教える必要はないでしょうが、このように重大、かつ悪用が容易で、あらゆるところに存在する脆弱性は、対策を打ち出すよりも速いスピードで、インターネットの隅々にまで広がっていきます。データが示すように、これらの脆弱性を検出するためにインターネットをスキャンしようと膨大な労力が費やされています。脆弱性のすべてをブロックすることはできませんが（ただし Firebox の検出結果を見る限り、成果は上がっているようです）、ネットワークのセグメント化や重要データのバックアップを行うことで、この欠陥が業務に支障をきたすことを防ぐことができます。脆弱性のあるソフトウェアをアップデートしておらず保護もされていない場合は、攻撃者が把握している脆弱なネットワークのリストに載せられている可能性が高いため、ご注意ください。