Tenable ブログ
ブログ通知を受信するLog4Shell: OT コミュニティが今すぐ取るべき 5 つのステップ
OT 環境も、ApacheLog4j の欠陥によるリスクにさらされています。ここでは、今すぐ実行できることを紹介します。
12/17 更新情報: Apache は、CVE-2021-45046 で報告されている 2 つ目の Log4j 脆弱点の 深刻度を「低」から「重大」(9.0 CVSSv3) に変更しました。一定の設定においてリモートコード実行の可能性があることが発覚したためです。詳細は、Tenable コミュニティの 投稿 をご覧ください。
すでにご承知のとおり、log4j の脆弱性により今インターネットは火の海です。CVE-2021-44228: Log4j のリモートコード実行の脆弱性 (Log4Shell) は、歴史上最も蔓延し、広範囲に及ぶ恐れがある脆弱性の 1 つとして分類されています。Log4j は、開発者が広く使用している Java 用ロギングライブラリです。コア機能にサードパーティのライブラリを使用することは、IT に限った問題ではありません。Log4j は、運用・制御技術 (OT) 環境に組み込まれています。実際、OT ベンダーは、製品がどのように影響を受けるかについてのアドバイザリをすでにリリースしています。
OT インフラにおけるこの特定の脆弱性の広汎性と程度 への理解は今後数週間から数か月でより深まるでしょうが、Log4j は重要な OT ロギング機能の実行にほぼ確実に使用され、そのシステムを些細なリモートコード実行に対して脆弱にすることはすでに明らかになっています。ただし、Log4j を OT インフラで使用しない場合でも、リスクにさらされる可能性があります。
企業は IT と OT 運用環境を統合しているため、攻撃が IT から OT へと移動するケースはこれが初めてではありません。工場が完全にエアギャップされている場合でも、「偶発的なコンバージェンス」が存在する可能性が比較的高いのです。OT インフラを保護するための決定的な手順を実行しないと、事業が危険にさらされる可能性があります。
FAQ はこちらから: CVE-2021-45046、CVE-2021-4104: Log4Shell に関連した脆弱性についてよくあるご質問。
OT 環境を Log4j から保護するための 5 つの手順は次のとおりです。
- 公式ガイダンスに従う。 米国サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) などの組織は、具体的なガイドラインを発行しています。このガイドラインに精通し、継続的に従うことが重要です。MITRE、米国国立標準技術研究所 (NIST)、英国のネットワークと情報セキュリティ (NIS)、北米電力信頼度協議会 (NERC) のフレームワークへの準拠と信頼は、動的な脅威の状況に警戒を怠らず、組織がベストプラクティスを確立するのに役立ちます。
- 何を所有しているかを把握する。 資産インベントリは、セキュリティ問題解決の基本であり、深い状況認識を提供します。このためには、環境内のすべてのメーカーとモデルを把握するだけではなく、ファームウェアバージョン、パッチレベル、通信経路、アクセス情報などの最新のインベントリが不可欠です。ネットワーク監視だけでは、詳細情報の一部しか提供されません。固有の詳細情報を取得するには、アクティブでデバイス固有のクエリも必要です。
- IT 資産のターゲット型スキャンを実行する。 優れた資産インベントリがあれば、脆弱性スキャンを実行して、影響を受ける可能性のある他の場所を確認できます。Tenable Research は、Log4J や Log4Shell の脆弱性攻撃を検出するシグネチャを特定し、公開しました。プラグインの継続的なリリースについてはこちらをご覧ください。 リスクにさらされている要素を特定するためには、新しく発行されたプラグインを使用してターゲット型スキャンを実行することをお勧めします。
- 幅広い OT エクスポージャーを理解する。 ベストプラクティスは、Nessus のような優れたスキャンオプションを使用して IT 資産の脆弱性スキャンを実行し、Tenable.ot のような OT に特化したオプションを使用して OT 資産を具体的に処理することです。実際、Tenable.ot には Nessus が含まれており、IT 資産と OT 資産の両方に対して脆弱性チェックを実行します。Tenable.ot が OT 資産に対応している間、Nessus が IT 資産のみのスキャンを保証するよう、特定の予防措置が採用されています。
- リスク軽減を積極的に行う。 侵入検出アラートのみに依存して、不正アクセスやシステムの悪用を警告しているようでは、すでに手遅れです。進行中の脅威の評価には、最新のインテリジェンスとソースが含まれている必要があります。IT ネットワークと OT ネットワークは多くの環境ですでに相互接続されており、脅威アクターはこのコンバージェンスを利用しています。Log4j がすでに環境内で利用されている可能性を懸念している場合は、Tenable がお手伝いします。
長期的には、製造業と重要インフラコミュニティ全体が、実際に発生した新たな脅威への対処に必要な深い状況認識を身につけ、システム内で何が使用されているかについての理解を深める必要があります。ソフトウェア部品表 (SBOM) の取り組みは、2021 年 5 月の大統領令によって定められました。SBOM は、製品が脆弱なソフトウェアライブラリに依存しているかどうかを知るために必要な透明性をエンドユーザーに提供できます。
Log4j の脆弱性に今後数年間対処を余儀なくされるのは間違いありませんが、残念ながら、将来的に他の脆弱性が発生することも疑いようがありません。適切な人材、プロセス、技術が整っていれば、世界中の組織はリスクベースの意思決定を迅速に共同で使用することで、Log4Shell などの脆弱性の影響を最小限に抑え、世界の重要インフラを保護できます。
Tenable の OT ソリューション担当シニアディレクターである Michael Rothschild も、このブログ投稿に貢献しました。
もっと詳しく
- Tenable Log4j ソリューションセンターの詳細はこちらから: https://www.tenable.com/log4j
- SRT アラート: CVE-2021-44228: Apache Log4j における深刻なリモートコード実行の脆弱性の概念実証 (Log4Shell) が公開される
- FAQ : CVE-2021-44228、CVE-2021-45046、CVE-2021-4104: Log4Shell 関連の脆弱性についてよくある質問
- CISO の視点を読む: サードパーティのソフトウェアで広く使用されている Apache Log4j における脆弱性が発見される
- Tenable はさまざまな方法で企業を支援しています。ユーザーコミュニティにアクセスして詳細をご覧ください。https://community.tenable.com/s/
関連記事
- OT Security