Apache Log4j 2の脆弱性（CVE-2021-44228）への Imperva 社の対応について

CVE-2021-44228（Log4shell）に関して

この Java 言語のライブラリが幅広く使われているため、ニッチのアプリケーションのみならず、数多くの利用者をもつクラウドサービスや Web アプリケーションも危険にさらされています。過去に大きな脆弱性が見つかった Apache Struts を使うユーザも脆弱である可能性が高いと言われています。

この脆弱性を悪用するのはかなり容易であり、エクスプロイトに使うコード列を HTTP や TCP といった一般的なプロトコルで受信できるサーバに送ることさえできれば、簡単に不正のリモートコード実行（Remote Code Execution, RCE）を行うことができます。もちろん、Web アプリケーションサーバーもその対象の一つとなりますが、Imperva App Protect を利用されているお客様は、このゼロデイが発表された時点から保護されています。

Imperva 社の対応タイムライン

2021年12月９日にこの脆弱性が発表されて間もなく、Web アプリケーションサーバへの攻撃が始まったと見られていますが、初期の攻撃は Imperva App Protect の標準機能で防御できた上、CVE-2021-44228 が公開されて以来、Imperva 社は既に十数のセキュリティルールのアップデートを発表しています。そのタイムラインは以下のようになります。

• 2021年12月9日 18:00 UTC　初期攻撃が見られるようになりますが、既存のセキュリティルールで防御できます
• 2021年12月10日 05:41 UTC　新たな攻撃亜種が見られるようになり、追加のセキュリティルールを作成します
• 2021年12月10日 11:44 UTC　アップデートは検証され、Imperva Global Network および SecureSphere アプライアンスが利用する ThreatRadar Feedに反映されます
• 2021年12月10日 22:46 UTC　さらなる攻撃亜種が見られ、追加のセキュリティルールが作られ、展開されます

Log4Shell のインパクト

2021年12月16日の時点では、追加セキュリティルールを展開してから、Imperva 社は既に2000万件以上の攻撃試行をブロックし、Imperva App Protect によって保護されている84,000もの Web サイトが攻撃対象となっていたことが分かっています。今では、その数がはるかに多くなっていると思われます。 Imperva App Protect では、本脆弱性の攻撃試行を Attack Analytics 機能で確認することができるので、管理 UI 上で攻撃が来ているかを確認できます。

この脆弱性は、先述の通り、Java 言語の幅広いアプリケーションに採用されているライブラリにおけるエクスプロイトなので、幅広い業界において発生しており、特定の国に限らず世界的に広く分布されていることも分かります（Imperva 社調べ）。

このようなゼロデイ脆弱性はいつ見つかってもおかしくないと言えます。しかも、多くの脆弱性は発表されないまま悪用される可能性もあることを考えると、組織のデータへの入り口を守る Web アプリケーションサーバのセキュリティ対策がますます求められるようになります。当社では、その対策として Imperva App Protect をお勧めしています。

さいごに

当社では、Imperva App Protect のアフターサポートに加えて、マネージドセキュリティサービス（MSS）もご提供しています。お客様の WAF を24時間365日体制で監視し、問題が生じたときにその報告だけでなく、対処法までご提案します。運用が難しいと思われがちな WAF の監視を当社が代行することで、お客様の組織の IT 管理者は取り組むべき課題に集中することが可能です。

お困りの際は、ぜひお気軽に当社までお声がけください。