(こちらの記事はヤプリ Advent Calendar 2021 16日目の記事になります。)
プロダクト開発本部の佐藤です。
先月末より徐々に世界的にLog4jの抱えていた脆弱性の話題が盛り上がり、実務でも調査・対応に追われた方も多いのではないでしょうか。
さて今回は本件を業務目線ではなくプライベート(エンドユーザ)の視点から調査・対応を行ってみようと思います。言い換えると業務システムではなく、一般家庭でこの脆弱性の対応を行っていくのが趣旨です。
それでは我が家で行った対応の概要をご紹介していきたいと思います。大きく以下の3ステップに分けて進めました。
- 本脆弱性の影響を受けるwebサービスの洗い出しと対応状況の確認
- 本脆弱性の影響を受けるクライアントアプリの洗い出し
- 該当システムの対応
1. 本脆弱性の影響を受けるwebサービスの洗い出しと対応状況の確認
国内・海外問わず情報公開は進んでおり他の脆弱性と比較してスムーズに情報を収集できたように思いました。この手の情報に関しては公開してあればよい、というわけでもないので一概には言えませんが実際に見ると安心感にはつながりますね。業界によって公開有無の傾向に偏りがあった印象もあるのでこの辺はふむふむといったところでしょうか。
webサービス(スマートフォンアプリのサーバサイド含む)は運営会社での対応が主となるため、レポートを一通り確認するのみでそれ以上のアクションは今回とりませんでした。
2. 本脆弱性の影響を受けるクライアントシステムの洗い出し
今回の脆弱性は任意のリモートコード実行とDos攻撃で、いずれもインターネットまたはローカルネットワークに接続されうるシステムに限定できそうです。ということで自宅のネットワークに接続されている端末のリストを取得しました。
我が家のルータで確認できた端末数はオフラインのものも含め19台ほどでした。余談ですがUniFiのルータを利用していたおかげで端末の一覧を容易に取得でき、便利さを実感しました。確認したタイミングで接続されている端末だけではなくオフライン状態の端末も確認できるのは安心感がありました。
端末を大きく分類するとPC、タブレット、スマートフォン、IoT機器がありました。
PCはmacですのでJavaが動いていそうなアプリケーションについてアップデート情報の確認を行いました。もし対応内容が案内されていればそれに従うとよいでしょう。例えば私はIDEにIntellij IDEAをプライベートで利用しているので以下のページで影響がないことを確認したりしました。
タブレット・スマートフォンは影響を受けることは考えにくかったのでスキップしました。ここがスコープに入ってくるとこの問題のインパクトはさらに大きくなっていたことが想像されます。
続いてIoT機器ですが、ここは少し頭を悩ませました。自宅のネットワークに接続する機器は多かったものの、製造元のwebサイトでは本脆弱性についての情報は得にくかったからです。 組み込みで稼働するシステムが多く、そもそもログを保持するような機器は一般的ではなかったりすることが理由になっているのかもしれません。こちらも前述の通り公開してあればよいというわけでもないので難しいところですね。
最後に、ネットワーク機器であるルータ・スイッチ自身の確認を行いました。我が家で利用している機器は本件に対してバージョンアップの案内が出されていました。
https://community.ui.com/releases/UniFi-Network-Application-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1community.ui.com
3. 該当システムの対応
対応方法の案内が出されていましたのでそれに従って作業を進めました。「Up to Date」の表示が出ていれば最新で、案内されているバージョンになっていることを確認すれば完了です。
最後に
UniFiの紹介がしたいだけになってしまいましたが、我が家で行ったLog4j脆弱性対応をダイジェストで記載しました。本件に限らず「バージョンアップを定期的に行う」は脆弱性対応の基本ですので引き続き意識していきたいと思います。
