TOPセキュリティ > Log4jの脆弱性への対応策、チェックすべき情報は(前)

セキュリティ

Log4jの脆弱性への対応策、チェックすべき情報は(前)

2022/01/12

Susan Bradley CSO

 このテスターのページを開くと、自分専用の一意のIDを含む特別な文字列が表示される。これを、テスト対象のアプリケーションのユーザー入力欄(例えばユーザー名などの入力ボックス)に貼り付けて入力を確定したうえで、テスターのページから結果ページのリンクを開く。結果ページに、自分のIDを使った接続が記録されている場合、この脆弱性が残っているという意味になる。つまり、同様の手法で攻撃を受ける可能性がある。

 このツールは、自社の所有または支配下のアプリケーションやリソースに対してのみ使用すること。法律上や契約上の権利を持たない外部のサービスに対してこうしたテストを行うことは、利用規約に違反する可能性が高い。

 この脆弱性に対する攻撃で実際に使われている手法の1つに、特別な文字列でLDAP(Lightweight Directory Access Protocol)サーバーに接続させるというものがある。Huntressが公開したテスターは、この形式の文字列を使った外部接続が有効かどうかをチェックする仕組みだ。このほかのHuntressのリソースとしては、この脆弱性について解説したブログ記事や、同社のJohn Hammond氏が出演するYouTube動画がある。

チェックすべきアプリケーション

 英NCC Groupは、脆弱性のあるソフトウエアやデバイスを特定するために、アプリケーションやベンダーの情報を確認するよう勧めている。ログ出力の機能を使っているアプリケーションをまずテストすることに加えて、LDAPに依存しているアプリケーションも確認する。

 米Microsoftのセキュリティーレスポンスセンターのブログ記事では、攻撃リスクの典型的なパターンの1つとして、ユーザー名、リファラー、ユーザーエージェントの文字列をログで処理するようなコードを含むWebアプリケーションを挙げている。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ