Apache Log4j RCE 脆弱性、NTTデータ先端技術が検証報告 | ScanNetSecurity
2025.10.24(金)

Apache Log4j RCE 脆弱性、NTTデータ先端技術が検証報告

 NTTデータ先端技術株式会社は12月15日、Apache Software Foundationにより修正されたLog4j に存在するリモートコード実行の脆弱性(CVE-2021-44228)について検証を実施した結果を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
本脆弱性を悪用した攻撃の例
本脆弱性を悪用した攻撃の例 全 1 枚 拡大写真

 NTTデータ先端技術株式会社は12月15日、Apache Software Foundationにより修正されたLog4j に存在するリモートコード実行の脆弱性(CVE-2021-44228)について検証を実施した結果を発表した。

 Apache Software Foundationが提供するロギング用ライブラリ Log4j は、Java等のアプリケーションでログ出力を行う実装として幅広く利用されている。本脆弱性はLog4shellとも呼称され、Log4j に存在する JNDI(Java Naming and Directory Interface)Lookup機能に含まれる問題に起因する。

 本脆弱性の悪用に成功した場合、攻撃者がリモートから任意のコードを実行できる可能性があり、CVSSv3 スコアが最高値の10.0、SeverityはCriticalと評価されている。概念実証(PoC)コードも数多く公開され、攻撃の観測や被害事例も報告されており、ライブラリ単体のみならず影響を受けるライブラリを含む製品が多数のベンダに渡って存在するため、今後の被害の拡大が懸念されるという。

 同社では、攻撃者が用意したLDAPサーバにより不正なJavaのClassファイルを用いて被害者に任意のコードを実行させる方法として、次の3段階の手順の攻撃を確認している。RMI等を使った攻撃手法では、第2段階までで攻撃が成立することを同社では確認しており、Step4が省略され、Step3の手順でレスポンスを受け取った際に任意のコードを含んだ不正なメソッドの呼び出しが行われる。

第1段階(攻撃試行)
Step1. 標的となる脆弱なLog4jライブラリを使用するアプリケーションに、JNDI Lookupを行うための不正なHTTPリクエストを送信
※脆弱なバージョンのLog4jであること、JNDI Lookup機能が有効となっている前提

第2段階(JNDIの不正操作)
Step2. 攻撃者が指定したJNDI Lookupで攻撃者のLDAPサーバに接続を開始する

Step3. 攻撃者に設定された任意のコードを含む不正なClassライブラリのダウンロード先が含まれたLDAPのレスポンスを受け取る

Step2のJNDI Lookupで使用されるプロトコルの種類として、以下を確認している。

・LDAP (Lightweight Directory Access Protocol)
・DNS (Domain Name System)
・RMI (Remote Method Invocation)
・NDS (Novell Directory Services)
・NIS (Network Information Service )
・CORBA (Common Object Request Broker Architecture)

第3段階(不正なClassファイルの読み込みによる任意のコード実行)
Step4. Step3で取得したダウンロード先から不正なClassライブラリをダウンロードする

Step5. 不正なClassライブラリを読み込み、任意のコードが実行される

 同社では、脆弱性を持ったサーバを構築し、本脆弱性の悪用が可能であることを確認しており、検証結果から、不正なリクエストの送信元に対して HTTP 404 のエラーを返していても、Log4jが不正な Class ファイルを読み込んで実行している可能性があると推測している。

《高橋 潤哉》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. NTT西日本グループ「伴走型セキュリティ対策支援サービス」提供

    NTT西日本グループ「伴走型セキュリティ対策支援サービス」提供

ランキングをもっと見る
PageTop