IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

VMware 海外動向

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker  Kubernetes 

第73回 VMSA-2021-0028とLog4jについて知っておくべきこと (野田貴子) 2022年2月

こんにちはー。野田貴子です。今回も英語が苦手な方向けに海外の人気コラムを意訳したものをご紹介します。 新年企画ということで昨年後半のブログを紹介します。

また、VMwareの研修に興味がある方は受賞的と経験豊富なCTC教育サービスにご依頼くださ
※VMware研修コース (https://www.school.ctc-g.co.jp/vmware/index.html)


2021年12月10日にVMwareがリリースしたVMSA-2021-0028では、Apache Software Foundationのセキュリティ勧告のうち非常に注目されている、Log4j(Javaのロギングコンポーネント)を利用しているVMware製品やサービスへの影響を追跡しています。12月14日にはApache Software Foundationから脆弱性「CVE-2021-44228」に対する最新の回避策と、脆弱性「CVE-2021-45046」に関するガイダンスがリリースされました。これらの勧告ではLog4jコンポーネントで外部からコードを実行されてしまう重大な脆弱性について説明しており、この影響を受けるすべてのVMware製品にとって、共通脆弱性評価システム(CVSS)で危険度10点(満点)と判定されています。

この件の最新情報には早めの対応が必要です。これはVMware製品だけに限ったことではなく、log4jコンポーネントは多くのベンダーやソフトウェアパッケージで使用されているためです。この最新の勧告では、すべてのシステムを再評価する必要があることを示しています。業界内の脅威インテリジェンスの専門家は、これらの脆弱性を狙った活発な攻撃(特にインターネットからアクセス可能なワークロードに対する攻撃)を観測しています。

VMware Security Advisory VMSA-2021-0028は、VMwareがこの状況を改善するための情報源となるように、この脆弱性の影響を受ける製品のリスト、それらの回避策、そして修正パッチが利用可能になったかどうかといった情報を記載しています。

VMSA-2021-0028: Questions & AnswersはVMSAの補足資料で、お客様からのよくある質問を取り上げています。また、CISA.govのLog4jガイダンスなどを集めた豊富な一覧や、よくある質問も含まれています。ぜひこちらのページをご覧いただき、ブックマークしてください。

当ブログ記事でも必要に応じて新しい情報を追記・更新していく予定です。

VMware SecurityにはLog4jやLog4Shellの脆弱性を検出し、抑制し、理解するための素晴らしいリソースが多数用意されています。例えば以下のようなリソースがあります。

VMSA-2021-0028: Q&Aではお客様からのよくある質問にお答えし、上記のすべてのリンクも掲載しています。

ぜひ、Security Advisoriesメーリングリスト(VMSAページの右側にあります)に登録し、VMSA-2021-0028の勧告やページ内コンテンツを定期的にご覧いただき、最新情報を入手してください。また、Knowledge Baseの記事を購読すれば、更新が行われた際に通知を受けることができます。

VMware Cloud on AWSやWorkspace ONEなどのVMwareクラウドサービスをご利用のお客様は、セキュリティに対するVMwareの取り組みの一環としてクラウド共有責任モデルにインストールされた軽減パッチで積極的に保護されています。みなさまには適宜メンテナンスの通知が送られ、https://status.vmware-services.io/https://status.workspaceone.com/からいつでもサービスの状態を確認することができます。管理ゲートウェイのファイアウォールのルールが緩い一部のVMware Cloud on AWSのお客様には、インターネット上で発生するスキャンやエクスプロイト(脆弱性を悪用するプログラム)からの露出を減らすための措置がとられています。

VMware Cloudのオンプレミスコンポーネントやホスト型サービスをお持ちのお客様は、VMSAを確認し、これらのアプライアンスに回避策を実施する必要があるかどうかを判断してください。これには、HCX、Cloud Gateway、Workspace ONE Accessなどのハイブリッドクラウドツール用のアプライアンスも含まれます。

オンプレミスやVMware Cloud on AWS Advanced Firewallのお客様がご利用いただけるNSX Intrusion Prevention & Threat Analysisの機能は、Log4Shellのエクスプロイトシグネチャを持つトラフィックを検出しブロックできるように常に更新されています。

誰が影響を受けるのか?

VMware Security Advisoryには、影響を受けているサポート対象製品とバージョンが記載されています。これらの情報は引き続き更新される予定です。

いつまでにどうすればいいですか?

即座に行動してください。この脆弱性の影響は、あらゆるシステム、特にインターネットからのトラフィックを受け入れるシステムにとっては深刻です。突然「ゼロデイ」で情報が公開されたことで、影響を受けるソフトウェアはまだ対策を取れていません。このことは攻撃者に有利に働きます。

ITILが定義している3つの変更タイプを活用している組織では、これを「緊急の変更」とみなすでしょう。すべての環境は異なり、リスクに対する許容度も異なり、リスクを軽減するためのセキュリティコントロールや深層防護も異なるため、どのように進めるかの判断はみなさん次第です。しかし、重大性を考慮すると、我々はみなさんが今すぐ行動することを強くお勧めします。


続きはこちら

追記:VMSA-2021-0028は、Apache Software Foundationからの最新の推奨事項に従って進化し続けています。また、VMSA-2021-0028: Questions & Answersのページでは定期的に更新が行われ、Q&Aも更新されています。

※引用元  https://kb.vmware.com/s/article/86398

※本コラムはVMware社が公式に発表しているものでなく、翻訳者が独自に意訳しているものです。 https://blogs.vmware.com/vsphere/2021/12/vmsa-2021-0028-log4j-what-you-need-to-know.html

 


 

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker  Kubernetes