SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

セキュアスカイ・テクノロジー情シスのLog4j脆弱性対応(進行中)

Log4j 情シス 緊急対応

はじめに

セキュアスカイ・テクノロジー(以下、SST)、システム&セキュリティチームの西村です。 今回は前置きなくいきなり本題に入りますが、JPCERT/CCより注意喚起も出ているApache Log4jの脆弱性対応について、SST社内(いわゆる情シスの視点)で実施している対応の一部を可能な範囲でご紹介します。

www.jpcert.or.jp

SSTでは、お客さま向けにWAFサービスや脆弱性診断サービスを提供しており、本脆弱性への対応という意味では社外向けに提供している自社サービスの対応もとても重要なポイントです。が、本ブログでは、一企業としてその中のセキュリティ担当(や情報システム担当)が自社でどのような対応を実施しているか(執筆時点でも継続対応中のため、途中経過として)をご紹介することで、同様の立場で本脆弱性の対応をしているみなさまの参考に少しでもなればとの思いで書いてみました。

なお、本脆弱性の影響範囲はあまりにも大きく、今後どこまでの影響があるか、執筆時点では正確には判断ができていない部分もある状況です。ご紹介した対応は、今後の状況変化により対応が変わるものもある可能性があります。あくまで現在進行中のひとつの事例として情報発信したいと思います。また、SSTはセキュリティサービスを本業としている関係上、詳細については非公開とせざるをえない部分や意図的にあいまいに表現している部分もありますので、ご理解いただけますと幸いです。

時系列まとめ(現在進行中)

日付 主なできごと(下線の2件を詳しく取り上げます)
2021/12/10(金) 朝 ・社内slackチャンネルにCTOより本脆弱性の第一報
・社内のセキュリティエンジニアによる情報収集、調査開始
同日午後 ・自社WAFサービスの防御対応ならびに社外向けアナウンス実施
同日夕方 ①社内外システムの影響調査開始
 →影響する可能性のある1サービスを関係部署と調整の上、一時停止
同日夜 ・全社員向けにCTOより社内向けに調査状況、一次対応方法を緊急アナウンス
2021/12/11(土) ・自社WAFサービスの追加対応実施
2021/12/12(日) ・経営陣、各事業・広報・営業・セキュリティ責任者で緊急社内MTGを実施
 →社外向け、②社内&事業パートナー向け周知内容を検討
・CISOより社内&事業パートナー向けに緊急周知実施
2021/12/13(月) ・代表より社内に再度周知実施、本件用の集約slackチャンネルを開設。
・一時停止したサービスの追加調査実施、影響がないことが判明したため復旧
2021/12/14(火) ・本ブログ作成に着手
・社外向けに影響緩和のための資料を緊急公開www.securesky-tech.com
2021/12/16(木) ・本ブログ公開(←いまここ)
(対応は続く。。。)

情シスとしての主な対応

時系列まとめでこれまでの主なできごとをピックアップしましたが、今回の脆弱性対応は影響範囲がかなり大きく、発覚当初より社内各チームの複数のメンバーが情報収集、調査を実施する形となりました。 当初の第一優先順位は、自社WAFサービスで本脆弱性を狙った攻撃を防御できる状態にすることで、こちらはWAF担当チームにより可能な限り迅速に対応できました。(さらに追加の対応を休日、夜間含めて現在も継続しており、本当に頭が下がる思いです。情シス観点でいうと自社WAFサービスを自社の社外サイトに利用していることもあり、とても頼もしく思います。)

その後、主に情シス担当の対応として実施した以下2点について説明します。

 ①社内外向けシステムの影響調査
 ②社内&事業パートナー向け周知内容の検討

①社内外システムの影響調査

まず対象の社内外システム・サービスについて、以下の主なカテゴリに分けて一覧表を作成しました。

  • 社外向けシステム・サービス
  • 社内向けシステム・サービス
  • 利用SaaS
  • クライアントソフトウェア

一覧表は、日頃より社内で維持管理している台帳をベースにしつつ、複数メンバーで抜け漏れを随時補完する形で作成しました。 一覧になったシステム・サービス・ソフトウェアごとに主に以下の観点で調査し、台帳に調査結果を記載しました。

  • Javaを使っているシステムかサービスか?
  • Javaを使っている場合、Log4jを使っているシステムorサービスか?
  • システムorサービスの正式サポート情報で対象or対象外の情報が公開されているか?

12/10夜の時点で主要なシステムの一次調査が完了し、ほぼすべてのシステムで今回の脆弱性による影響の対象外である可能性が高いことが判明しました。(なお、12/10夜の時点でサポート状況、影響の有無などを公式情報として公開しているところはほぼありませんでした)

ただし、この時点では、1件のみ本脆弱性の影響を受ける可能性のある社内向けサービスがあることが判明したため、以下の対応を実施しました。

  1. このサービスの利用者は社内の一部のメンバーのみであり、社内利用メンバーとの調整もできたことから、該当する社内サービスを停止する対応を緊急で実施
  2. 停止前までの時点で悪用された形跡が残っていないかをログから確認し、怪しい状況がないことを確認
  3. 翌営業日までの追加調査により、実際には影響を受けないことが判明したため、サービス復旧

また、社内の一部業務で利用しているWindows上で動作するクライアントソフトウェアでJavaを使っているのものがあったため、以下の対応を実施しました。

  1. 12/10の時点では公式情報が出ていなかったことから、利用者に利用停止&自動起動抑止を依頼、あわせて代替手段のお知らせ
  2. 翌営業日にも公式情報がでていなかったため、サポートに連絡して対応状況を確認

こちらは引き続きサポートからの対応状況を待っているところです。

なお、今回の調査の過程では、いまのところ本脆弱性の影響を直接受けるものは見つかっていませんが、見つかっていた場合、これまでに悪用された痕跡がないかなど、追加のログ調査なども必要になったと思います。

ここまでの調査は、情シス以外のメンバーを含む、各システム毎の管理者がそれぞれ分担して実施しました。SST社内では各所で調査が実施され、各システムの管理者にもこの脆弱性の影響の大きさが伝わっていたこともあり、それぞれの管理者が必要な調査を迅速に実施することができました。

②社内&事業パートナー向け周知内容の検討

次に紹介するのは、社内向けおよび事業パートナー向けの本件の周知内容の検討です。12/10(金)の初動対応で緊急的な対応が概ね終わったため、翌営業日(12/13(月))に向けて、お客さまからの問い合わせ対応や社内からの問い合わせも考慮し、この時点でできる限りのまとまった情報を整理することに注力しました。

まずは社内向けの周知内容を検討しました。 第一報としてはすでに金曜日にCTOよりアナウンスしていたため、休日明けということでお客さまからの問い合わせが増えることも想定し、以下の内容を改めて盛り込むようにしました。

  • 対象者がエンジニアだけでなく、サービスサポート部門を含む社員全員であることを改めてお知らせ
  • 本脆弱性の影響とSST社内外システムの確認状況の共有
  • 各メンバーにお願いしたい事項

実際にCISOから社内向けに送信したメール(&slack)の文面の一部を紹介します。(表現などを一部修正している部分があります)

f:id:nishi6ra:20211215204645p:plain
社内向けメール

この社内向け案内は12/12(日)中に出すことができました。SSTでは業務にslackを活用しているため、メールと合わせてslackでも案内しましたが、日曜日の周知にも関わらず、各メンバーからの反応が確認でき、安心して翌営業日に備えることができました。加えて12/13(月)の業務開始時間に代表からも改めて周知し、これまでにないレベルで社内全メンバーへ周知徹底を図りました。

次に事業パートナーさま向けの周知内容です。SSTでは一部の事業を弊社内のリソースを利用しながら事業パートナーさまとともにサービス提供しています。そのため、事業パートナーさまには、現時点のSSTの状況をお伝えしつつ、あらかじめ最悪の自体を想定したお願いを含めることにしました。具体的には、SSTもしくは事業パートナーさまのどちらか一方で本脆弱性の影響を受けた場合の対応方法です。万が一の場合に、共有リソースを介してその影響が複数社に出てしまい、結果的にお客さまにもご迷惑をおかけする可能性も否定できない状況になる可能性があるため、状況次第ではシステム停止やネットワーク遮断をすることによってその影響範囲を最低限に抑える措置を実施する可能性があるということをお伝えしました。事業パートナー向けの周知メールの一部もご紹介します。

f:id:nishi6ra:20211215204718p:plain
事業パートナーさま向けメール

まとめ

以上、まだ現在進行形で継続中の事案ではありますが、情シス視点での対応の一部をご紹介しました。なお、実際には社内で複数のメンバーが並行して各種対応を実施しており、私自身も社外向けの周知内容をレビューしたり、社内メンバーから質問があった場合のヘルプデスク対応や通常業務のサポートなどを並行して実施している状況です(そこそこ大変な状況ではありますが、なんとなくみぞみぞ?しちゃいますね)。

SSTはセキュリティ企業として「インターネットを安全にする」という使命で事業を行っております。お客さまの安全を守るために脆弱性診断サービスやWAFサービスなど今回の脆弱性にも関係するサービスを展開しておりますが、情シス視点でみると、それらのサービスをお客さまに提供するための社内基盤を守る立場であると考えています。ここが守られていなければ、お客さまやインターネットを安全にすることも難しくなるため、責任はとても重大です。みなさまの会社の情シスメンバーも、やはり縁の下の力持ちとして、今回のような緊急事態のときには陰ながら(もしくは表立って)ご活躍されているのではないかと思います。本ブログが同じ志を持って今回の対応を実施している裏方メンバーに少しでも参考になれば幸いです。

最後に、SSTからは今後も随時本件に関するアナウンスを継続していきます。SSTサイトのお知らせ、Scutumサービスサイトも合わせてご覧ください。

www.securesky-tech.com

www.scutum.jp