解説:「Log4j」の脆弱性がもたらす世界的なセキュリティ危機
セキュリティの専門家は、過去最悪の部類に入るコンピュータ脆弱性が起きていると話している。マイクロソフトなどによると、国の後押しを受ける中国やイランのハッカーや不正な暗号資産(仮想通貨)のマイナー(採掘者)たちがすでにこの脆弱性に手を出している。
アメリカ国土安全保障省はすぐさま警告を発したほか、バグが簡単に悪用されるという理由で問題の発見とパッチの適用を急ぐよう連邦政府機関に要請した。さらに、利用者とのネットワークを有する機関には、確実な検証ができない場合はファイアウォールを設置するよう通告している。小さなコードのため、影響を受けるソフトウェアはドキュメント化されていないことも多い。
インターネットをベースにして活動している攻撃者は、広く使われているユーティリティ「Log4j」に潜むこの欠陥を悪用して産業用の制御システムからウェブサーバ、家電製品など、あらゆるモノをいともたやすくコントロールできる。ほかのソフトウェアのレイヤーに隠れていることが多いため、このユーティリティを使用しているシステムを特定するのは難しい。
アメリカのサイバーセキュリティ防衛当局のトップであるジェン・イースターリー氏は、13日に行われた州や地方の当局者および民間企業パートナーとの電話会議において、この欠陥を「これまでのキャリアで目にしたなかで最悪とは言えないにせよ、もっとも深刻なものの一つ」と評した。9日に公開された情報によると、パスワードを使わず簡単に侵入できるため、サイバー犯罪者やデジタルスパイにとっては何としても手に入れたい代物だ。
イースターリー氏が率いるサイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)は14日、数億台もの機器に関わるとされる欠陥に対処するためのリソースページを立ち上げた。コンピュータを多用する他国でも懸命に対応しており、たとえばドイツでは国家IT危機管理センターを稼働させている。
サイバーセキュリティのトップ企業であるドラゴスによると、電力、水道、食品・飲料、製造、運輸など重要な産業が危機にさらされている。同社の脅威インテリジェンス担当副社長であるセルジオ・カルタジローネ氏は「少なくとも業界サイドで言えば、この問題と無縁な大手ソフトウェアベンダーは存在しない」と述べている。
CISAのサイバーセキュリティ部門を率いるエリック・ゴールドスタイン氏が言うには、セキュリティ侵害が確認された連邦政府機関はいまのところない。だが、まだ初期段階にすぎない。同氏は「きわめて広い範囲で簡単に悪用でき、大きな被害をもたらす可能性のある脆弱性がみられるが、敵対者がこれを悪用して実害をもたらす可能性がある」と述べている。
◆小さなコードが世界にトラブルを引き起こす
影響を受けるソフトウェアはプログラミング言語のJavaで書かれており、ユーザーのアクティビティを記録している。オープンソース「アパッチ・ソフトウェア財団」の支援を受けた少数のボランティアが開発・維持しているこのユーティリティは、商用ソフトウェアの開発者の間で高い人気を誇る。セキュリティ企業のビットディフェンダーによると、Windows、Linux、アップルのmacOSなど多くのプラットフォームで動作し、ウェブカメラからカーナビシステム、医療機器まであらゆるものを動かしている。
ゴールドスタイン氏は14日の電話会議において、CISAは修正プログラムが利用可能になり次第「パッチを適用したソフトウェアのインベントリを更新していく」と記者に語り、修復にはいくぶん時間がかかるとしている。
アパッチ・ソフトウェア財団によると、11月24日に今回の欠陥を通知してきたのは中国のテック大手アリババだった。修正プログラムの開発とリリースに2週間を要した。
コンピュータセキュリティの専門家たちはパッチ処理に加えて、脆弱性が悪用されたか、つまりネットワークやデバイスがハッキングされたかを検出するというさらなる難題も抱えていた。数週間かけて強力なモニタリングをする必要がある。ハッカーが悪用する前に、開いているドアを必死になって特定しそれを閉じる慌ただしい週末の作業はいまではマラソンのような長期戦になっている。
◆嵐の前の静けさ
ネットワーク・セキュリティ企業ギガモンの脅威インテリジェンス部門を率いるジョー・スロウィック氏は「多くの人がかなりのストレスと疲労を感じているところだが、今後しばらくの間、2022年に向けてこの問題に取り組むことになるだろう」と述べている。
サイバーセキュリティ企業のチェックポイントは14日、悪意のある既知の攻撃者による試みを50万回以上検出し、世界中の企業ネットワーク上で欠陥を特定したことを明らかにした。5ヶ国でこの欠陥が悪用され、暗号資産のマイニングマルウェアがインストールされたという。計算のサイクルを利用してデジタルマネーを秘密裏にマイニングするものだ。
現時点ではこの欠陥を利用したランサムウェアの感染事例は確認されていないが、マイクロソフトのブログ投稿記事によると、ネットワークに侵入してランサムウェアギャングにアクセス権を売る犯罪者が、WindowsとLinuxの両システムでこの脆弱性を悪用していることが明らかになっている。また、犯罪者は急速にこの脆弱性を悪用して、窃盗目的のために複数のゾンビコンピューターを囲い込むボットネットを構成しているという。
オンラインの脅威からウェブサイトを守るインフラを提供しているクラウドフレアの最高技術責任者(CTO)ジョン・グラハム・カミング氏は「今後については、いまの影響が現れるまでに2週間かかるとみている。というのも、組織に侵入したハッカーは次のアクションを考えるからだ」と話す。
サイバーセキュリティ企業ソフォスのシニアリサーチャー、ショーン・ギャラガー氏は現在の状況を「嵐の前の静けさ」と表現した上で「敵は将来の収益化か資本化、あるいはその両方を視野に入れつつ、いま手に入るものは何にでもアクセスしようとするだろう」との見方を示している。ユーザー名やパスワードの詐取も含まれるとみられる。
マイクロソフトやサイバーセキュリティ企業のマンディアントによると、国の後押しを受けた中国やイランのハッカーたちは、すでにこの脆弱性を利用してスパイ活動を行っているという。マイクロソフトでは、北朝鮮やトルコにも同様のハッカーがいたとしている。マンディアントのトップアナリストであるジョン・ハルトクイスト氏は名指しこそしなかったものの、イランの当事者が「とくに攻撃的」であるほか「イスラエルに対し主に破壊目的でランサムウェアの攻撃に参加していた」と述べている。
マイクロソフトでは、2021年初頭にオンプレミスのエクスチェンジ・サーバにあるソフトウェアの欠陥を悪用した主体と同じ中国系サイバースパイ集団が「典型的な標的の対象を広げる」ためにLog4jを使用していたとしている。
◆ソフトウェア:設計上安全でない?
Log4jにまつわる話は、ソフトウェアの設計において適切な対応がなされていないという問題を明らかにしたと専門家は指摘している。重要な機能に使われているプログラムのなかには、セキュリティを十分に考慮して開発されていないものが多くある。
ギガモンのスロウィック氏が言うには、非難されるべきはLog4jを担当したボランティアのようなオープンソースの開発者ではなく、このようなコードの断片を十分な検証もせずやみくもに組み込むすべてのプログラマーだという。
人気のある特注のアプリケーションには、ユーザーが内部の情報を知ることのできる「ソフトウェアの部品表(BOM)」が付いてないこともあるが、これはいまの時期にきわめて必要とされるものだ。
ドラゴスのカルタジローネ氏は「全体的にみてソフトウェアベンダーがオープンソースのソフトウェアを利用するようになっているため、こうした問題がますます深刻になっている」と述べている。
とくに産業システムでは、水道事業や食品生産など、かつてはアナログで行われていたあらゆる業務がこの数十年でデジタル化され、自動化や遠隔管理が一般的になっている。「その一例が、ソフトウェアやLog4jを利用したプログラムを用いることだった」という。
By FRANK BAJAK AP Technology Writer
Translated by Conyac