セキュリティ企業のGigasheetが「Log4ShellでAWSアカウントを乗っ取る方法」を公開しました。Gigasheetによると、この方法はあくまでAWSのセキュリティ設定がずさんな場合にのみ起こりえる現象であり、AWSがLog4Shellに関する固有の問題を抱えているということを意味しているわけではないとのこと。

世界最大級の小売＆電子商取引企業であるアリババグループが所有する日刊紙・South China Morning Postなどの報道によると、中国政府は「Apache Log4j」に関する重大な脆弱性を政府に最初に報告しなかったとして、アリババグループのクラウドコンピューティング部門・Alibaba Cloudと工業情報化部の取引を6カ月間停止する措置を取ったとのこと。

2021年11月24日に、Alibaba Cloudのセキュリティチームが、Apache Log4jのバージョン2.0-beta9からバージョン2.14.1までにリモートコード実行の脆弱性を発見したと、Apacheに報告しました。

　警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。

バージョン2.0-alpha1から2.14.16までにサービス妨害（DoS）状態を発生させる恐れのある脆弱性が存在し、最新版で修正された。

ASFよると、バージョン2.0-alpha1～2.14.16では、自己参照Lookupでの制御されない再起が保護されていない。このためロギング構成のコンテキストルックアップで「$$ {ctx：loginId}」などデフォルト以外のパターンレイアウトを使用している場合、攻撃者がスレッドコンテキストマップ（MDC）で再帰ルックアップを含む悪意ある入力データを作成するなどして、スタックオーバーエラーが発生し、システムが停止してしまうとしている。

「2018年にBloomberg発のスパイチップ騒動が起きた時、多くの人が目に見えないスパイチップを恐れましたが、Dellのデバイスには肉眼で見える欠陥が長年にわたり放置されていました。もし業界がこれほどあからさまな不具合を見つけられないとしたら、目に見えないスパイチップへの懸念が高まるのは当然と言えます」と述べました。

　日本郵便は12月15日、金融商品について顧客の取引内容を記載した「金融商品仲介補助簿」などを紛失したと発表した。合わせて約21万4000人分の顧客情報が記載されていたという。仲介補助簿には、氏名や記号番号、取引内容（購入・解約）、取引金額、銘柄などを記載しているという。

　仲介補助簿については保存場所や期間を定めていたが、各郵便局での保存期間の認識の違いや、保存する箱の入れ間違いにより、保存期間内に誤って廃棄してしまった。その他の書類についても「紙媒体で作成・保存すべき書類が膨大な環境にあることが、取扱いのミスにつながった」とした。

Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列
から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用
されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録す
ることで、Log4jはLookupにより指定された通信先もしくは内部パスからjava
classファイルを読み込み実行し、結果として任意のコードが実行される可能性
があります。

** 更新: 2021年12月15日追記 ******************************************
The Apache Software Foundationは、Apache Log4jのバージョン2.16.0
（Java 8以降のユーザー向け）および2.12.2（Java 7のユーザー向け）を公開
しました。

主にLDAPのJNDIリソースを利用した攻撃が確認されていますが、RMIやDNSなど他のJNDIリソースに拡大する可能性があります。これらの文字列は、潜在的にログに記録されるあらゆる値に注入される可能性があります。可能性のあるフィールドは、ユーザーエージェント、ウェブフォーム、ウェブページ名、またはユーザーデータが送信される他の任意の場所です。これらの値は、もしログに記録されるために送られると、Log4j を使ってアプリケーションによって解析され、実行され ることができます。以下は、悪用されようとしていることを検知できる文字列です。

${jndi:ldap 
${jndi:dns 
${jndi:rmi 
${jndi:nis 
${jndi:nds 
${jndi:corba 
${jndi:iiop 

アップグレードされた Log4j ライブラリを使用する前にこの問題を軽減したい組織で、2.10 から 2.14.1 の間の Log4J バージョンを使用している場合、JVM 起動パラメーターに次のプロパティを適用し、Java プロセスを再起動することが可能です。

-DLog4j2.formatMsgNoLookups=true 

警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。

　LINE Payは、12月6日に一部ユーザーのキャンペーン情報がソフトウェア開発プラットフォーム「GitHub」上で閲覧できる状態になっていたと発表。氏名／住所／電話番号／メールアドレス／クレジットカード番号／銀行口座番号などは含まれておらず、現時点でのユーザーへの影響は確認されていない。

 ジェームスタウン財団は、ワシントンD.C.に拠点を置く防衛政策シンクタンクです[2]。 1984年にソ連からの亡命者を支援するために設立され、現在では、米国にとって現在の戦略的重要性を持つ出来事や傾向について、政策立案者に情報を提供し、教育することを目的としています。中国、ロシア、ユーラシア、世界のテロリズムなどをテーマにした出版物を発行しています。

【目次】
第1部 新戦争論
第一章 いつも先行するのは兵器革命
第二章 戦争の顔がぼやけてしまった
第三章 教典に背く教典
第四章 アメリカ人は象のどこを触ったのか

第2部 新戦法論
第五章 戦争ギャンブルの新たな見方
第六章 勝利の方法を見出す――側面から剣を差す
第七章 すべてはただ一つに帰する――超限の組み合わせ
第八章 必要な原則

それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
私の正確なスキルを必要とする複雑なソフトウェア。
このエクスプロイトは、特別に作成された一意のコードを使用してチェーンで機能し、このようなタイプの攻撃は検出されません。

　徳島県つるぎ町の町立半田病院（１２０床）で、院内のシステムがサイバー攻撃を受けて電子カルテを使用できなくなる被害があり、同病院は２６日、システムを新しくした上で、停止していた新規患者の受け入れを来年１月４日に再開すると発表した。個人情報の保護と引き換えに求められていた「身代金」は支払わない。

　同病院はシステムの復旧を模索してきたが、地域医療への影響が長期化する恐れがあるとして断念。別のサーバーを用いるなどしてシステムを再構築することに決めた。システムの構築などにおよそ２億円かかるという。

病院によると21年12月29日に復旧が確認された。

病院は復旧方法について「今後のセキュリティー対策に関わるので公表しない」としている。

想定される影響は各脆弱性により異なりますが、当該製品のWeb GUIにログインした状態のユーザーが、攻撃者の作成した罠ページにアクセスすることで、次のような影響を受ける可能性があります。

GreenSnowは、コンピュータセキュリティの最高のスペシャリストで構成されたチームで、世界中にあるさまざまなコンピュータから大量のIPを採取しています。GreenSnowは、SpamHaus.orgと比較して、スパム以外のあらゆる種類の攻撃を受けています。リストは自動的に更新され、リストに掲載されたIPアドレスはいつでも撤回することができます。
近々、Fail2BanやConfigServer Security & Firewallでこのリストを使用するためのガイドができる予定です。

モニターされる攻撃/ブルートフォースは以下の通りです。スキャンポート、FTP、POP3、mod_security、IMAP、SMTP、SSH、cPanel ...
詳細やリストへの参加については、お問い合わせください。

政府は、今後3年間の政府におけるサイバーセキュリティ施策や実施方針となる「サイバーセキュリティ戦略」を9月28日に閣議決定した。日本語版と英語版を同時公開している。

前回2018年7月の決定より3年が経過し、サイバーセキュリティ基本法に基づいて前日27日にサイバーセキュリティ戦略本部で決定したあらたな戦略案を閣議決定したもの。

「DX with Cybersecurity」を掲げ、デジタル庁を中心に推進するデジタルトランスフォーメーションとあわせてセキュリティ対策を推進。中小企業など含めたサプライチェーンの信頼確保などを推し進める。

$ python3 PoC.py www.ujp.jp
Server www.ujp.jp IS NOT VULNERABLE
[MacPro2013:server 16:51:46 ~/bin/CVE-2021-41773 ]
$

このような状況を踏まえ、ICT-ISAC Japanでは、2017年度に総務省、国立大学法人横浜国立大学等と連携し、サイバー攻撃観測網や脆弱性探索手法を活用して、重要IoT機器(国民生活・社会生活に直接影響を及ぼす可能性の高いIoT機器)を中心に、インターネットに接続されたIoT機器について調査を行いました。
ICT-ISAC Japanでは、サイバーセキュリティの確保のためには継続的な調査が必要と考えられるため、総務省等と連携し、今年度も日本国内のインターネットに接続されたIoT機器について、バナー情報の取得等により脆弱なIoT機器調査を再開することとしました。

　Covid-19感染拡大によって企業を取り巻くIT環境は大きく変わり、世界中で一気にテレワークが普及した。この急速な変化によってインターネットから直接アクセス可能なVPNや、クラウド上に公開されたIT資産、脆弱性を放置されたサーバー等がサイバー攻撃の標的となった。
　現在、これらのインターネット上からアクセス可能になっている「資産」を保護するための「ASM(Attack Surface Management)」と呼ばれる技術の注目が高まってきている。

In its most recent annual Cost of a Data Breach report, the Ponemon Institute reviewed more than 500 incidents around the world. The results were sobering: the average data breach costs an organization $4.24 million, and takes 287 days to identify and contain.

That’s why Cybersecurity Awareness Month – designated every October for the last 18 years – is an important reminder of just how critical cybersecurity awareness is at all levels of government and across every industry.


Ponemon Instituteは、最新の年次報告書「Cost of a Data Breach」において、世界各地で発生した500件以上の事件を調査しました。平均的なデータ漏洩のコストは424万ドル（約4億円）で、特定して封じ込めるまでに287日かかります。

だからこそ、18年前から毎年10月に設定されている「サイバーセキュリティ意識向上月間」は、政府のあらゆるレベル、あらゆる業界において、サイバーセキュリティに対する意識がいかに重要であるかを思い出させてくれる重要な月間なのです。

　先日、SNSでちょっとした調査結果が盛り上がっていました。それは、アンチウイルスと呼ばれる分野の製品で名だたる製品群が販売されている中、Windowsに付属している「Microsoft Defender」がかなりいい成績を残しているということです。

　確かに、第三者機関であるAV-TESTやAV-Comparativesの結果を見ると、無料であるはずのDefenderの成績は他の有料製品と遜色ない結果がでています。個人的にも、“既知のマルウェア”に対する検知率は十分で、Windows 10製品を購入したのち、マルウェア対策製品を入れなかったとしても、それなりの防御は可能、と認識しています。

脆弱性の詳細について知りたい

今回パストラバーサル、RCEの脆弱性は10月4日以降に修正された3件の内、CVE-2021-41773、CVE-2021-42013の2つ。CVE-2021-42013はCVE-2021-41773の修正が不十分であったことに起因する脆弱性で、脆弱性の種類、影響は同様。

参加組織（順不同）
警察庁、国立研究開発法人情報通信研究機構（NICT）、パナソニック株式会社、株式会社インターネットイニシアティブ（IIJ）、横浜国立大学、JPCERT/CC

最新刊の「情報セキュリティ白書2021」のスペシャルトピックは以下の通りです。

・米国の政策（トランプ政権下のセキュリティ施策、バイデン政権の政策、SolarWinds、ColonialPipeline事案など）
・テレワークの情報セキュリティ（インシデント事例、テレワーク環境を取り巻く脅威、課題、対策など）
・NISTのセキュリティ関連活動（組織の沿革と体制、SP800,1800シリーズなど）

　自分が作るものには自分で責任を負わなければならず、特にセキュリティについては、これから作ろうとするシステムの脆弱性について内外から情報を集め、検討し、必要に応じて自発的に顧客に提案する。誰に言われなくてもそういうことをしなければならない。自分の身は自分で守るという覚悟を持ってシステム作りにのぞまなければならない時代になったのかもしれない。