【緊急度「高」Log4jの脆弱性発生を受け】SHIFT SECURITYは『Log4j向け無償セキュリティ診断・フォレンジック調査』の提供を開始。

株式会社SHIFT SECURITY
十分なセキュリティ対策を行うことが難しい企業のセキュリティ向上に貢献します。

株式会社SHIFT SECURITY（本社：東京都港区、代表取締役：松野真一、以下SHIFT SECURITY)は、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）より公開された「Apache Log4jにおける任意のコードが実行可能な脆弱性」の注意喚起をうけ、脆弱性診断を無償で請け負う「Log4j向け無償セキュリティ診断・フォレンジック調査」を開始いたしました。十分なセキュリティ対策を行うことが難しい企業のセキュリティ向上に貢献します。



■取り組み開始の背景


12月7日、ログ管理ライブラリであるApache Log4jで任意のコード実行の脆弱性に対する修正パッチが発表されました。この脆弱性はLog4Shellと呼ばれ、ログ出力される文字列に特定の文字列が含まれる場合に、不正なプログラムをダウンロード、実行してしまうというものです。


Log4jはJavaによるシステムで最もよく使用されるライブラリの一つであり、攻撃に成功した場合の影響が深刻であるうえに遠隔からの攻撃も可能であったことから、すでに国内でも攻撃試行が確認されており、多くのサービスが対応に追われています。

今回のような緊急度の高い脆弱性は影響範囲が広く、早急な対応が必要となります。しかし、各企業で対策を行う場合、セキュリティの技術と知見のある人員が必要となり、外部の会社に委託した場合にはコストがかかるため十分な対策を取れない場合もあります。

SHIFT SECURITYは、「笑顔をつくる」という理念のもと、脆弱性診断の専門会社として「コストや人材不足、専門知識の不足でセキュリティ対策に取り組めない企業の力になることは社会的役割の一つである」と定め、この度、発覚した『Log4jの脆弱性(CVE-2021-44228)』において『Log4j向け無償セキュリティ診断・フォレンジック調査』を提供開始し、多くの企業のセキュリティ向上に貢献したいと考えています。

※1 JPCERT「Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起」
https://www.jpcert.or.jp/at/2021/at210050.html


■Log4j向け無償セキュリティ診断の概要

無償セキュリティ診断では「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の2種類をご用意しています。
◇脆弱性診断
ご依頼されたページに対して、ログ出力されやすい情報であるURLとヘッダ（User-Agent, Referer）を対象にして脆弱性の概念実証コードを送信し、サーバの応答を確認します。 攻撃検知に対応しているセキュリティ製品も多く、調査時にはアラートが出る恐れがありますのでご注意ください。

診断でわかること
・本脆弱性の影響を受けうるシステムかどうか
・URLや特定のヘッダに脆弱性があるかどうか
※ログ出力されやすい情報であるURLとヘッダ（User-Agent, Referer）を対象に検査を行います
・どのような対策を講じるべきか

◇フォレンジック調査(攻撃の痕跡確認)
今回、確認されたLog4Shell脆弱性(CVE-2021-44228)により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査いたします。調査には「Webサーバのアクセスログのご提供」が必要となります。

無償セキュリティ診断は最短翌営業日までにメールにて診断結果をご報告いたします。
※依頼が集中するとお待たせする場合があります



SHIFT SECURITYは、これからもさまざまな活動を通じてソフトウェアを誰もが安心・安全に使える社会の実現に貢献していきます。

【会社概要】
会社名　：株式会社SHIFT SECURITY
代表者　：松野真一
事業内容：脆弱性診断、セキュリティ監視、コンサルティング
設　立　：2016年6月
所在地　：東京都港区麻布台2-4-5 メソニック39MTビル
URL　　：https://www.shiftsecurity.jp/

【本件に関するお問い合わせ】
株式会社SHIFT SECURITY　営業Div マーケティングチーム
E-mail: info@shiftsecurity.jp