株式会社SHIFT SECURITYは12月20日、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)より公開された「Apache Log4jにおける任意のコードが実行可能な脆弱性」の注意喚起を受け、「Log4j向け無償セキュリティ診断・フォレンジック調査」の同日からの提供開始を発表した。 予算や人員不足、専門知識の不足でセキュリティ対策が追いつかない企業に向け、「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の2種類を提供する。 「脆弱性診断」は、依頼のあったWebページに対し、ログ出力されやすい情報であるURLとヘッダ(User-Agent, Referer)を対象に、脆弱性の概念実証コードを送信し、サーバの応答を確認することで、当該脆弱性の影響を受けるシステムかどうか、URLや特定のヘッダに脆弱性があるか、どのような対策を講じるべきかを明らかにする。 「フォレンジック調査(攻撃の痕跡確認)」は、WebサーバのアクセスログからLog4Shell脆弱性(CVE-2021-44228)による攻撃の痕跡有無を調査する。 調査依頼と申込は同社Webサイトのフォームから。 株式会社SHIFT SECURITY 蕏塚 昌大 氏への本誌の取材によれば、Log4jはJavaシステムで最もよく使用されるログ管理ライブラリの一つであり、もしサイバー攻撃に成功すると、遠隔から任意のプログラムを実行させることができる影響の大きいもので、脆弱性の深刻度を表すCVSS(共通脆弱性評価システム)で最高得点の10.0点で評価されているという。 また、攻撃方法がそれほど複雑ではなくSNS等で出回っており、すでに国内でも攻撃試行が確認されており、多くのサービスが対応に追われている現状だという。 蕏塚氏によれば、この脆弱性に特に注意すべきは「自社のシステムがどのような言語やライブラリを使用しているか把握できていない企業」や「WAFなどを導入しているものの運用まで手が回っていない企業」であるという。 無償診断と調査依頼を行えば、遅くとも翌営業日に、早ければ当日中に、結果をメールで受け取れるという。ただし依頼が集中した場合、それ以上待つケースも予想されるとのこと。
