公開日:2021/12/20
平素は弊社サービスをご愛顧いただき誠にありがとうございます。
2021年12月11日にJPCERT/CCよりJavaのログ出力ライブラリである「Apache Log4j」にリモートから悪用可能な脆弱性(CVE-2021-44228、通称:Log4Shell)の注意喚起が発表されて以降、関連する複数の脆弱性(CVE-2021-45046,CVE-2021-45105)が公開されました。
Javaで作成された多くのプログラムで利用されており、また利用しているフレームワークやライブラリ等で間接的に利用されている可能性もあり、影響が広範囲に及ぶと考えられます。
SSTでは、サービスおよび自社システムにおいて迅速に調査を進め、本脆弱性の影響を受けないことを確認し、お客様・取引先企業様へご案内しました。
また、お客様、取引先企業様の安全確保、被害拡大防止と影響緩和の一助となりますよう、弊社対応の取り組みについてお伝えします。
※本内容は2021年12月17日(金)までの情報に基づき記載しております。今後の最新情報や状況に応じて、ご案内内容の更新・変更が生じる可能性がございます。
提供サービス
クラウド型WAFサービス「Scutum(スキュータム)」
本脆弱性を狙った攻撃について対応を完了しています。また、Scutum自体とその関連システムでは、本脆弱性の影響を受けないことを確認済みです。JPCERT/CCの注意喚起に先立つ2021年12月10日時点で、本脆弱性を狙った基本的な攻撃について防御できる状態に更新し、翌12月11日までに難読化により、WAFの防御をすり抜けようとする攻撃パターンが今後増加することを想定した追加対策を行いました。
本脆弱性について新たな情報が公開された場合は、随時追加対応を検討してまいります。
- Scutumサービスサイト:Apache Log4j の任意のコード実行の脆弱性(CVE-2021-44228)を利用した攻撃への対応のお知らせ
- Scutumお客様サポートサイト:最新情報のお知らせ
- Scutum技術ブログ:「Log4jで話題になったWAFの回避/難読化とは何か」
- Scutum活用ブログ:【緊急案内】Apache Log4jの脆弱性における、Scutumの対応のご案内
※Log4jライブラリならびに本脆弱性の性質上、すべての攻撃がWAFにおいて防御できるものではございません。お使いのソフトウェアに関する更新情報などを注視し、できるだけ早い段階での対応バージョンへの更新を推奨いたします。
脆弱性診断サービス(Webアプリケーション診断/プラットフォーム診断/アジャイル診断)
診断ツールと関連システムでは、本脆弱性の影響を受けないことを確認済みです。
教育・支援サービス(eラーニング、セキュア設計・開発ガイドライン策定支援サービス)
eラーニング環境を含め、セキュア設計・開発ガイドライン策定支援サービスでは、本脆弱性の影響を受けないことを確認済みです。
弊社内における本脆弱性への対応
- 2021年12月10日から13日までに、弊社内で使用されている主要なシステムにおいて、本脆弱性の影響を受ける可能性があるものを調査し、影響を受けないことを確認しております。
- その他のシステムについても、順次調査を進めて継続的な確認を行っております。
- 社内で利用しているクラウドサービスの最新情報の確認を継続的に行っております。また、社内のクライアントPC上で使われているソフトウェアにおいてLog4jライブラリを使っているものの特定ならびに対策を現在順次進めております。
- 対策が完了するまでは、Log4jライブラリを使用していないことが確認されたソフトウェアのみを用いて業務を進めて参ります。
- SSTエンジニアブログ:「セキュアスカイ・テクノロジー情シスのLog4j脆弱性対応(進行中)」
取引企業様への対応
- 弊社業務の一部を委託していますパートナー企業各社に対して、弊社の取り組みや状況をお伝えしつつ、密に情報を交換しながらパートナー企業と足並みを合わせて安全を確保しております。
- SSTもしくは事業パートナーさまのどちらか一方で本脆弱性の影響を受けた場合の対応方法を確立させました。
- 万が一の場合に、共有リソースを介してその影響が複数社に出てしまい、結果的にお客さまにもご迷惑をおかけする可能性も否定できない状況になる可能性があるため、状況次第ではシステム停止やネットワーク遮断をすることによってその影響範囲を最低限に抑える措置を実施する可能性があるということを確認しています。
影響緩和のための緊急公開/情報発信
- 危険性および緊急性を踏まえ、注意喚起と影響緩和を目的とした『Apache Log4j 脆弱性の影響緩和のために今できること』を緊急公開
- 本脆弱性への対応の取り組みについて、情報システム担当より「セキュアスカイ・テクノロジー情シスのLog4j脆弱性対応(進行中)」を紹介