脆弱性Log4Shell、ダークウェブでの反応は? | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > 脆弱性Log4Shell、ダークウェブでの反応は?

脅威インテリジェンス

Cyber Intelligence

Flashpoint

Intelligence

脆弱性Log4Shell、ダークウェブでの反応は?

Tamura

Tamura

2021.12.21

Log4Shell、ダークウェブでの反応は?

Apache Log4jの脆弱性(通称「Log4Shell」)が公表されてから約1週間、各組織はシステムやインフラの弱点の洗い出しと修正を急いでいます。

しかしその間にも、違法コミュニティ(ダークウェブのフォーラムなど)の脅威アクターたちは、この脆弱性を悪用してさらに利益を得るための方法を、盛んに議論しています。

 

以下、3つのディープウェブ、ダークウェブ・フォーラム(「XSS」「Raid」「RAMP」)に焦点を絞り、脅威アクターグループたちの間で交わされる会話のうち、最も注目に値するものを分析していきます。

 

関連記事

ダークウェブとは?何が行われている?仕組みから最新動向まで

 

*この記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2021年12月17日付)を翻訳・編集したものです。

 

目次

XSS

Log4jとGitHub

Raid Forums

RAMP

脆弱性管理ならFlashpoint

翻訳元サイト

 

XSS

Flashpointのアナリストは、一流ロシア語ハッキングフォーラム「XSS」上のスレッド(CVE-2021-44228 Apache log4j RCE)で、脅威アクターたちが脆弱性Log4Shellに関連する以下のような活動について、盛んに議論していることを確認しました。

 

✔️ Log4ShellのPoC(概念実証)エクスプロイトに関する情報共有

✔️ Log4Shellの攻撃対象のマッピングに協力すること

✔️ Log4Shellに対して脆弱なシステムをスキャニングする方法に関する情報提供

✔️ WAF(Webアプリケーション・ファイアウォール)を回避するペイロード

✔️ Cloudflareによる防御をかわしてLog4Shellエクスプロイトのペイロードを配信する方法に関する情報共有

✔️ Log4Shellのパッチ(修正プログラム)リリースをめぐる最新情報の共有

 

Log4jとGitHub

Flashpointが確認したXSSのLog4Shell関連スレッドで共有される情報の半分以上は、GitHubリポジトリ由来のものです。GitHub側は、Log4ShellのPoCエクスプロイトが含まれるリポジトリを積極的に削除しています。しかし、XSS上の脅威アクターたちはそれを分かった上で、こうしたリポジトリのコピーをGitHubに削除される前にXSSに投稿しています。

 

GitHubが削除したもののXSS上にアーカイブされているリポジトリのコピーは、脅威アクターらが今後参照するナレッジベース(知識のデータベース)として使われる可能性が高いです。

 

GitHub側は悪意のあるアーティファクトを含むリポジトリを削除する取り組みを行っているとはいえ、上記のような動きから、GitHubとサイバー犯罪コミュニティがはっきり交差しており、脅威アクターらがGitHubレポジトリを依然として主要なリソースとして用いているということは明らかです。

 

Log4Shell関連リポジトリへのGitHubリンクを含んだ投稿の数(12月8日〜12月16日)

Flashpointのコレクションから得たデータのグラフ

*Flashpointのコレクションから得たデータ(複数の違法コミュニティ上での会話を含む)

 

Raid Forums

英語が使われる違法コミュニティ「Raid Forums」上の脅威アクターたちは、Log4Shellに関する以下のような情報を盛んに拡散しています。

 

✔️ Log4Shellに対し脆弱なシステムを特定するよう細工された、人気脆弱性スキャンツールの新しいプラグイン

✔️ Log4Shellに対し脆弱なシステムをスキャニングするよう設計されたカスタムツール

✔️ Log4ShellのPoCエクスプロイト

 

Raid Forumsの管理人らは、Log4jに関する会話によって捜査機関や報道機関からの注目がおそらく高まることを知っているため、Log4Shell関連の情報が含まれるスレッドを繰り返し削除しています。しかしGitHubと同様、Raid Forumsの脅威アクターらも、共有されたPoCエクスプロイトやツールを管理人が削除する前に素早くダウンロードしています。

 

RAMP

ランサムウェア・フォーラム「RAMP」の総合チャットボックス内で、12月11日、複数の脅威アクターがランサムウェアグループ「LockBit」からしばらく音沙汰がないと述べました。ある1人のアクターが、LockBitはLog4jに取り組んでいると述べましたが、 同グループが行っているとされる活動のタイプについて、詳細な情報を示しませんでした。

なお、LockBitのRAMPにおける広報担当者は、よく同フォーラムを「cop forum(警官フォーラム)」呼ばわりして、管理人たちを公然と批判します。よって前述のコメントはジョークの可能性がありますが、Flashpointはさらなる情報がないか、引き続き同フォーラムを積極的に監視しています。

 

脆弱性管理ならFlashpoint

Flashpointが保有する豊富なCVEデータは、MITREやNVDのデータと、違法オンラインコミュニティ(*)で脅威アクターらが交わす会話や、ペーストサイト、公開されたテクニカルデータを相互に参照しています。

こうした情報源を閲覧できれば、脆弱性管理の担当チームは

✔️ 「動きの活発なPoCエクスプロイトがあるのは、どのCVEか」

✔️ 「将来最も悪用されそうなCVEはどれか」

を見極めることができます。

また、これらの知見を内部データと組み合わせることで、対策の優先順位付けをリスクに基づいてより効果的に行うことができます。

(*)違法オンラインコミュニティ=ディープウェブやダークウェブ上のフォーラムやチャットサービスなど

 

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

詳しくは以下のフォームからお問い合わせください。

 

翻訳元サイト

Flashpoint, ‘Log4j Chatter: What Threat Actors Are Sharing About the Log4Shell Vulnerability’

https://www.flashpoint-intel.com/blog/log4j-chatter/

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ