株式会社セキュアスカイ・テクノロジー(東京都千代田区 代表取締役 大木 元 以下、SST)がサービス提供を、株式会社ビットフォレスト(東京都千代田区 代表取締役 高尾 都季一 以下、ビットフォレスト)が技術提供を行うクラウド型WAFサービス「Scutum(スキュータム)」は、2021年12月9日より世界的に報告され始めた「Apache Log4j の任意のコード実行の脆弱性(CVE-2021-44228)」について対策を完了したことをお知らせします。
Scutumでは、2021年12月10日の段階で本脆弱性への基本的な対策の実装を完了いたしました。翌12月11日には、難読化によりWAFの防御をすり抜けようとする攻撃パターンが今後増加することを想定した追加対策を行い、Scutumを経由する通信において本脆弱性を狙った攻撃を幅広く検知・防御できる状態となっております。
Scutumでは2021年12月12日までの間に、脆弱性の有無を探る準備行為も含め、日本国内のサーバーに対する483サイト2553件以上の本脆弱性を狙った攻撃を検知・防御しており、観測される攻撃は時間とともに増加する傾向にあります。
Scutumでは、2021年12月10日の段階で本脆弱性への基本的な対策の実装を完了いたしました。翌12月11日には、難読化によりWAFの防御をすり抜けようとする攻撃パターンが今後増加することを想定した追加対策を行い、Scutumを経由する通信において本脆弱性を狙った攻撃を幅広く検知・防御できる状態となっております。
Scutumでは2021年12月12日までの間に、脆弱性の有無を探る準備行為も含め、日本国内のサーバーに対する483サイト2553件以上の本脆弱性を狙った攻撃を検知・防御しており、観測される攻撃は時間とともに増加する傾向にあります。
●本脆弱性に関する注意喚起について
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)について、JPCERT/CCからも2021年12月11日に注意喚起が行われています。
・JPCERT/CC:https://www.jpcert.or.jp/at/2021/at210050.html
・概要:JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があります。
・対象:Apache Log4j 2.15.0より前の2系のバージョン
・対策:The Apache Software Foundationから本脆弱性を修正したバージョンが公開されています。速やかな対策の適用実施をご検討ください。
※注意喚起の詳細および具体的な対策はJPCERT/CCの情報より直接ご確認ください。
本脆弱性は、外部からの任意のコード実行というダメージの大きさに加え、Javaを利用したアプリケーション環境で広く使われているログ出力ライブラリの脆弱性であり、様々なWebサービスやプラットフォームで影響が生じうること、攻撃者は特に高度なスキルを必要とせず、悪意あるファイルを対象システムに送り込むことができること、さらには任意のコード実行の影響までは受けない場合でも、データベースのパスワードやAPIキーの様な資格情報の窃取目的での攻撃が発生し得ることから、各方面からの注意喚起の通り、Apache Log4jのユーザーには早急な対応が求められます。
* 参照:https://logging.apache.org/log4j/2.x/security.html ※本プレスリリース内での日時表記は日本時間を基準としています。
●新たな脆弱性に対するScutumの対応について
Scutumでは新たな脆弱性への対応を重視し、常に最新のセキュリティ対策を反映しております。新たに脆弱性が発見された場合は、速やかにその脆弱性をScutumで防御できるかのチェックを行います。まだScutumで対応できていない問題が見つかった場合には、検知システムや防御ロジックの見直しを行い、できるだけ早くScutumで対応できるような体制を用意しています。
・Scutumの新たな脆弱性への対応一覧:https://www.scutum.jp/information/technical_articles/index.html
●クラウド型WAFサービス「Scutum(スキュータム)」について
インターネット上で『盾』となって、Webサイトを不正アクセス(攻撃)から守るセキュリティサービスです。お任せ運用・低コストでかつ余計な自前の設備を一切持つことなく、より安全なWebサービスの提供を実現します。
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)について、JPCERT/CCからも2021年12月11日に注意喚起が行われています。
・JPCERT/CC:https://www.jpcert.or.jp/at/2021/at210050.html
・概要:JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があります。
・対象:Apache Log4j 2.15.0より前の2系のバージョン
・対策:The Apache Software Foundationから本脆弱性を修正したバージョンが公開されています。速やかな対策の適用実施をご検討ください。
※注意喚起の詳細および具体的な対策はJPCERT/CCの情報より直接ご確認ください。
本脆弱性は、外部からの任意のコード実行というダメージの大きさに加え、Javaを利用したアプリケーション環境で広く使われているログ出力ライブラリの脆弱性であり、様々なWebサービスやプラットフォームで影響が生じうること、攻撃者は特に高度なスキルを必要とせず、悪意あるファイルを対象システムに送り込むことができること、さらには任意のコード実行の影響までは受けない場合でも、データベースのパスワードやAPIキーの様な資格情報の窃取目的での攻撃が発生し得ることから、各方面からの注意喚起の通り、Apache Log4jのユーザーには早急な対応が求められます。
* 参照:https://logging.apache.org/log4j/2.x/security.html ※本プレスリリース内での日時表記は日本時間を基準としています。
●新たな脆弱性に対するScutumの対応について
Scutumでは新たな脆弱性への対応を重視し、常に最新のセキュリティ対策を反映しております。新たに脆弱性が発見された場合は、速やかにその脆弱性をScutumで防御できるかのチェックを行います。まだScutumで対応できていない問題が見つかった場合には、検知システムや防御ロジックの見直しを行い、できるだけ早くScutumで対応できるような体制を用意しています。
・Scutumの新たな脆弱性への対応一覧:https://www.scutum.jp/information/technical_articles/index.html
●クラウド型WAFサービス「Scutum(スキュータム)」について
インターネット上で『盾』となって、Webサイトを不正アクセス(攻撃)から守るセキュリティサービスです。お任せ運用・低コストでかつ余計な自前の設備を一切持つことなく、より安全なWebサービスの提供を実現します。
Scutumは、国内クラウド型WAF市場におけるシェア1位を連続11年獲得しています(*)。今後もクラウド型WAFの国内トップブランドとしてWebサイトの安全性向上に寄与して参ります。
・クラウド型WAFサービス「Scutum(スキュータム)」:https://www.scutum.jp/
・WAFとは?:https://www.scutum.jp/outline/waf.html
(*)出典 ミック経済研究所刊『情報セキュリティマネージド型・クラウド型サービス市場の現状と展望2021 年度版』のクラウド型WAFサービス<発刊日2021年6月30日(https://mic-r.co.jp/mr/02100/)>
(*)2010年度から2020年度の実績(https://www.scutum.jp/topics/waf_leader.html)
【株式会社セキュアスカイ・テクノロジー 会社概要】
社名 :株式会社セキュアスカイ・テクノロジー
本社所在地 :東京都千代田区神田司町2-8-1 PMO神田司町2F
設立 :2006年3月
代表者 :代表取締役 大木 元
事業内容 :Webアプリケーションの脆弱性診断
クラウド型WAFサービス、セキュリティ教育・支援サービス、コンサルティング
URL :https://www.securesky-tech.com/
【株式会社ビットフォレスト 会社概要】
社名 :株式会社ビットフォレスト
本社所在地 :東京都千代田区神田錦町1-17-5 神田橋PR-EX8F
設立 :2002年2月
代表者 :代表取締役 高尾 都季一
事業内容 :Webアプリケーションセキュリティ製品の開発・販売
URL :https://www.bitforest.jp/