最近、人気の高いApache Log 4 jロギングライブラリにゼロデイ脆弱性（CVE-2021-44228）が発見されました。この脆弱性を悪用すると、攻撃者はリモートで完全にコードを実行できます。この脆弱性のエクスプロイトの形跡がすでに見つかっています。このロギングライブラリはエンタープライズアプリやクラウドサービスで広く利用されており、多くのエンタープライズ環境ではプライベートアプリをサポートしています。Apacheからセキュリティアップデートが公開されており、旧バージョンでこの脆弱性の影響を緩和するための推奨構成が提供されています。私たちは、アップデートしていないすべてのIT管理者に対し、直ちにアップデートするよう強く推奨いたします。

Zscalerは、ZscalerのサービスがCVE-2021-44228脆弱性の影響を受けないことを確認しています。この脆弱性の技術的な詳細は、ThreatLabzの脅威勧告の記事を参照してください。また、影響を受けているかどうかを確認するには、無料のインターネット攻撃対象領域分析を実行し、Apacheの使用により外部に公開されている攻撃対象領域の有無を確認します。

Apache Strutsやその他の関連製品は企業で広く採用されていることから、今後数か月あるいは数年にわたってランサムウェアの犯罪集団やサイバー犯罪者がこの脆弱性を悪用し、計り知れない被害をもたらす可能性があります。残念ながら、このような脆弱性の発見は今に始まったものではなく、HeartbleedやShellshockと同様に、相互接続されたデジタル世界に内在するリスクを浮き彫りにするものです。

確実に言えるのは、VPNやファイアウォールに依存する保護では、損害のリスクが真のゼロトラストネットワークアーキテクチャよりはるかに大きくなるということです。脆弱なバージョンのApacheを社内アプリで使用している場合、ファイアウォールとVPNが重大なリスクをもたらすことを十分に理解する必要があります。

従来型のネットワークセキュリティソリューションは、アプリをインターネットに公開することでアクセスを可能にするため、Shodanなどの自由に手に入るツールを利用して攻撃者に特定され、悪用される標的になる恐れがあります。
ファイアウォールとVPNは、すべてのユーザをネットワークに接続することでアプリケーションへのアクセスを可能にするため、攻撃者や侵入したユーザが水平移動し、脆弱性を悪用して最初の足場を築いた後に、ランサムウェアを送り込んだりデータを不正に取得したりできてしまいます。アプリにアクセスためにはネットワークアクセスが不可欠な環境は回避しなければなりません。
コロナウイルスの感染爆発で、ハイブリッドワークへの移行が一気に加速しました。そのような背景にあって、ファイアウォールやVPNは当然ながら重大なリスクをもたらすだけでなく、リモートワークの従業員によるプライベートアプリへのアクセスに時間がかかり、時代遅れで複雑であるといったデメリットがあります。ユーザエクスペリエンスが低く、リスクが高いソリューションを歓迎する人は誰もいません。

以上の不利益があるにもかかわらず、ファイアウォールやVPNを利用し続けるべきなのでしょうか？一夜で移行することはもちろん不可能であるため、今こそ3か月、6か月、9か月間の計画を立案し、ビジネスリスクを最小化する最も重要な第一歩を踏み出すことをお勧めします。

ゼロトラストアーキテクチャでリスクを軽減する4つのシンプルなステップ：

ゼロトラストそのもの、そしてその従来型のアプローチと比較した場合のセキュリティのメリットについては数え切れないほど説明されてきましたが、ここでは今回のApacheの脆弱性にフォーカスして解説します。

今回のゼロデイ脆弱性は、Alibaba Cloudのセキュリティ研究者が発見したものであるため、緊急セキュリティアップデートがなければ、脆弱なバージョンを実行しているすべての顧客にリスクがあることになります。さらには、この脆弱性によって完全なリモートコード実行が可能となり、基盤となるApacheサービスとそこに存在するすべてのデータへの完全な管理アクセスが可能になります。この脆弱性を悪用しようとする攻撃者は、アプリそのものを最初に見つける必要があります。攻撃を防ぐには、以下の対策が必要です。

攻撃対象領域を最小化し、アプリが外部に公開されないようにする：Zscaler Zero Trust ExchangeなどのゼロトラストアーキテクチャとZscaler Private Access (ZPA)を採用すれば、すべての内部アプリをインターネットから完全に隠して外部に公開されないようにできます。攻撃者は、ゼロトラストプラットフォームの背後に隠れた内部アプリを見つけて悪用することはできないため、脆弱なバージョンのApacheであっても、従来のVPNやファイアウォールでは保護できない今回や今後の脆弱性からの保護が可能になります。
許可されたユーザのみがアプリにアクセスできるようにする：サイバーセキュリティは、統合されたプラットフォームの一部として多層型防御を実現できる場合に最も効果的です。Zscalerは、脆弱なアプリが外部に公開されないようにするだけでなく、Azure AD、Okta、Duo、Pingなどの主要ベンダの不変のアイデンティティに基づき、ポリシーで承認されたアプリへのアクセスのみをユーザに許可します。脆弱なアプリへのアクセスを許可しないことが、攻撃者によるアクセスを阻止する極めて有効な手段となります。

攻撃者がApacheの脆弱性を悪用するなどの方法で企業ネットワークに足場を築くことに成功した場合、当然ながら環境を水平移動して、さらなるシステムの侵害、ランサムウェアのインストール、データの持ち出しなどを試行し、攻撃をさらに進行させることになります。したがって、防御側には次のような対策が必要です。
ユーザ対アプリ、アプリ対アプリのマイクロセグメンテーションでラテラルムーブメントを防止する：ZPAは、ユーザをネットワークに接続しない逆方向のトンネル経由でユーザとリソースをダイレクトに接続することで、アプリケーションアクセスをネットワークアクセスから分離します。アプリへのアクセスにあたってネットワークに接続する必要がないため、たとえ感染した場合も、水平方向への感染を防止できます。Zero Trust Exchangeはさらに、Zscaler Workload Segmentationによって同じゼロトラストポリシーをパブリッククラウドワークロードにまで拡張することで、データセンタやクラウドの環境でのラテラルムーブメントを停止します。いずれの場合も、Zscalerのプラットフォームが、1台の感染したサーバで企業全体が侵害されるのを防止します。
インバウンドとアウトバウンドの両方のトラフィックをインスペクションする：可視化と監視は、ゼロトラストの基礎となる重要な機能です。暗号化の有無に関係なく、すべてのトラフィックをインスペクションすることで、攻撃者がインターネットから環境にアクセスしようとする最初の侵害をブロックし、コマンド&コントロールサーバとの通信やデータの持ち出しなどの侵入後の活動も停止できます。Zero Trust Zscaler Internet Access (ZIA)は、その両方を可能にします。ZIA Advanced Threat Protectionは、インターネット対サーバ、サーバ対インターネットのトラフィックをインスペクションして、活動中の既知のエクスプロイトに関連する侵害の指標を特定することで、攻撃のブロック、検知、緩和を支援します。