【緊急度「⾼」Log4jの脆弱性発生を受け】SHIFT SECURITYは『Log4j向け無償セキュリティ診断・フォレンジック調査』の提供を開始。

 

 

■取り組み開始の背景

Log4jはJavaによるシステムで最もよく使⽤されるライブラリの⼀つであり、攻撃に成功した場合の影響が深刻であるうえに遠隔からの攻撃も可能であったことから、すでに国内でも攻撃試⾏が確認されており、多くのサービスが対応に追われています。

今回のような緊急度の⾼い脆弱性は影響範囲が広く、早急な対応が必要となります。しかし、各企業で対策を⾏う場合、セキュリティの技術と知⾒のある⼈員が必要となり、外部の会社に委託した場合にはコストがかかるため⼗分な対策を取れない場合もあります。

SHIFT  SECURITYは、「笑顔をつくる」という理念のもと、脆弱性診断の専⾨会社として「コストや⼈材不⾜、専⾨知識の不⾜でセキュリティ対策に取り組めない企業の⼒になることは社会的役割の⼀つである」と定め、この度、発覚した『Log4jの脆弱性(CVE-2021-44228)』において『Log4j向け無償セキュリティ診断・フォレンジック調査』を提供開始し、多くの企業のセキュリティ向上に貢献したいと考えています。

※1 JPCERT「Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起」
 https://www.jpcert.or.jp/at/2021/at210050.html
■Log4j向け無償セキュリティ診断の概要

無償セキュリティ診断では「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の2種類をご用意しています。
◇脆弱性診断
ご依頼されたページに対して、ログ出⼒されやすい情報であるURLとヘッダ（User-Agent, Referer）を対象にして脆弱性の概念実証コードを送信し、サーバの応答を確認します。 攻撃検知に対応しているセキュリティ製品も多く、調査時にはアラートが出る恐れがありますのでご注意ください。

診断でわかること
・本脆弱性の影響を受けうるシステムかどうか
・URLや特定のヘッダに脆弱性があるかどうか
※ログ出⼒されやすい情報であるURLとヘッダ（User-Agent, Referer）を対象に検査を⾏います
・どのような対策を講じるべきか

◇フォレンジック調査(攻撃の痕跡確認)
今回、確認されたLog4Shell脆弱性(CVE-2021-44228)により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査いたします。調査には「Webサーバのアクセスログのご提供」が必要となります。

無償セキュリティ診断は最短翌営業日までにメールにて診断結果をご報告いたします。
※依頼が集中するとお待たせする場合があります

SHIFT SECURITYは、これからもさまざまな活動を通じてソフトウェアを誰もが安心・安全に使える社会の実現に貢献していきます。

【会社概要】
会社名　：株式会社SHIFT SECURITY
代表者　：松野真一
事業内容：脆弱性診断、セキュリティ監視、コンサルティング
設　立　：2016年6月
所在地　：東京都港区麻布台2-4-5 メソニック39MTビル
URL　　：https://www.shiftsecurity.jp/

【本件に関するお問い合わせ】
株式会社SHIFT SECURITY　営業Div マーケティングチーム
E-mail: info@shiftsecurity.jp