2021年12月9日(木)、Javaのロギングライブラリ「Log4j」の脆弱性が公表され、脅威ID「CVE-2021-44228」(またはLog4Shell)として扱われることとなりました。また、12月10日にはCISA(サイバーセキュリティ・インフラストラクチャー・エージェンシー)からも注意喚起が発表されています。
この脆弱性は非常に深刻なもので、また各業界のセキュリティチームは24時間体制でシステムの安全性を確保するため厳戒態勢を敷いています。Log4jの脆弱性が利用されると、攻撃を受けたサーバー上でリモート・コード実行(RCE)が可能となり、悪意のある攻撃者はシステムを完全に制御できるようになります。(詳細は米セキュリティー企業LunaSecより公開されています。)
Auth0のプラットフォームは顧客の皆様にとって重要な役割を担っていると認識しており、またセキュリティはAuth0の最優先事項です。今回の脆弱性が明らかになって以降、当社では検出・対応チームを筆頭に、エンジニアリング、プロダクト、カスタマーサクセス、セキュリティの各チームが総力を挙げて、Auth0プラットフォームへの潜在的な影響を評価してきました。この脆弱性は我々の業界においても、最も危険度が高いものの一つであると認識し、Auth0としてこの脆弱性を非常に深刻に受け止めています。また、この脆弱性は非常に広範囲に及ぶ可能性があり、コードやシステムを体系的に見直すには多くの時間を要することから、Auth0では、先ず最も重要な資産から着手し、順に段階を追ってより確実性を確保して参りました。
脆弱性が公表された直後のツイートでも述べた通り、ツイート時点も、またこれまで継続的な評価と監視を続けてきた現時点においても、直接的な影響は見られていません。攻撃を受けた形跡はなく、Log4jライブラリはAuth0のコアサービスのコードベースでは使用されていないことが確認できています。
Auth0は、Log4Shellに対して脆弱なサードパーティーコンポーネントをごく僅か使用しています。当社ではインシデント対応プロセスを通じて、パートナーと緊密に連携し、まず初めにパッチがリリースされ次第すぐに適用し、そして、それらがAuth0のサービスを侵害する潜在的な経路として使用された可能性があるかどうかを特定して参ります。繰り返しになりますが、私たちが行ったレビューからは、この脆弱性を悪用した形跡は見られていません。
当社チームの迅速な対応、そして既存のセキュリティアーキテクチャが不可欠であり、既存のセキュリティツールを使用して、影響を受けるライブラリについてコードベースとコンテナ全体をスキャンし、影響を受けていないことが速やかに確認できました。また、エッジにWAFルールを導入し保護レイヤーを増やし、サプライチェーンのセキュリティに注力いたしました。最後に、当社レッドチーム(*セキュリティ攻撃に対して適切に対応できるかの評価、改善提案などを行う独立したチーム)は、Auth0プラットフォームに対して脆弱性の積極的な利用を試み、攻撃的なテストを通じて認証レベルの強度を更に高めています。
繰り返しになりますが、この脆弱性は非常に深刻です。Auth0ではすべてのお客様に自社のシステムとサードパーティーのコンポーネントにこの脆弱性がないか、また侵害の兆候がないか、綿密に調査・監視を継続されることをお勧めします。また、影響を受けるソフトウェアについては最新バージョンに更新されていることを確認してください(Okta製品への影響の詳細については、Oktaのブログを参照願います)。
Log4jにはその後も他の脆弱性が報告されており(CVE-2021-45046およびCVE-2021-45105)、セキュリティの研究者がこのライブラリの注目度を高めていることから、更なる脆弱性が存在すると予想しています。当社では、今後も状況を注視・調査し、状況の変化が生じた際には速やかにお知らせ致します。
*本文はAuth0(米国)が2021年12月20日(米国ワシントン州現地時間)付けで公開したブログを翻訳したものです。本文と原文に相違がある場合には英語の原文が優先します。