【緊急度「⾼」Log4jの脆弱性発生を受け】SHIFT SECURITYは『Log4j向け無償セキュリティ診断・フォレンジック調査』の提供を開始。

十分なセキュリティ対策を行うことが難しい企業のセキュリティ向上に貢献します。

株式会社SHIFT SECURITY(本社:東京都港区、代表取締役:松野真一、以下SHIFT SECURITY)は、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)より公開された「Apache Log4jにおける任意のコードが実行可能な脆弱性」の注意喚起をうけ、脆弱性診断を無償で請け負う「Log4j向け無償セキュリティ診断・フォレンジック調査」を開始いたしました。十分なセキュリティ対策を行うことが難しい企業のセキュリティ向上に貢献します。

 

 

■取り組み開始の背景


12⽉7⽇、ログ管理ライブラリであるApache Log4jで任意のコード実⾏の脆弱性に対する修正パッチが発表されました。この脆弱性はLog4Shellと呼ばれ、ログ出⼒される⽂字列に特定の⽂字列が含まれる場合に、不正なプログラムをダウンロード、実⾏してしまうというものです。

Log4jはJavaによるシステムで最もよく使⽤されるライブラリの⼀つであり、攻撃に成功した場合の影響が深刻であるうえに遠隔からの攻撃も可能であったことから、すでに国内でも攻撃試⾏が確認されており、多くのサービスが対応に追われています。

今回のような緊急度の⾼い脆弱性は影響範囲が広く、早急な対応が必要となります。しかし、各企業で対策を⾏う場合、セキュリティの技術と知⾒のある⼈員が必要となり、外部の会社に委託した場合にはコストがかかるため⼗分な対策を取れない場合もあります。

SHIFT  SECURITYは、「笑顔をつくる」という理念のもと、脆弱性診断の専⾨会社として「コストや⼈材不⾜、専⾨知識の不⾜でセキュリティ対策に取り組めない企業の⼒になることは社会的役割の⼀つである」と定め、この度、発覚した『Log4jの脆弱性(CVE-2021-44228)』において『Log4j向け無償セキュリティ診断・フォレンジック調査』を提供開始し、多くの企業のセキュリティ向上に貢献したいと考えています。

※1 JPCERT「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」
 https://www.jpcert.or.jp/at/2021/at210050.html
正式名称 Log4j向け無償セキュリティ診断・フォレンジック調査
開始時期 2021年12月20日から提供開始
診断範囲 Log4Shell脆弱性(CVE-2021-44228)
診断フロー 1.フォームから申し込み
2.診断実施
3.メールにて結果報告
診断申込 お申込みフォームよりお問い合わせください
https://www.shiftsecurity.jp/log4j/

■Log4j向け無償セキュリティ診断の概要

無償セキュリティ診断では「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の2種類をご用意しています。
◇脆弱性診断
ご依頼されたページに対して、ログ出⼒されやすい情報であるURLとヘッダ(User-Agent, Referer)を対象にして脆弱性の概念実証コードを送信し、サーバの応答を確認します。 攻撃検知に対応しているセキュリティ製品も多く、調査時にはアラートが出る恐れがありますのでご注意ください。

診断でわかること
・本脆弱性の影響を受けうるシステムかどうか
・URLや特定のヘッダに脆弱性があるかどうか
※ログ出⼒されやすい情報であるURLとヘッダ(User-Agent, Referer)を対象に検査を⾏います
・どのような対策を講じるべきか

◇フォレンジック調査(攻撃の痕跡確認)
今回、確認されたLog4Shell脆弱性(CVE-2021-44228)により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査いたします。調査には「Webサーバのアクセスログのご提供」が必要となります。

無償セキュリティ診断は最短翌営業日までにメールにて診断結果をご報告いたします。
※依頼が集中するとお待たせする場合があります

診断申込 お申込みフォームよりお問い合わせください
https://www.shiftsecurity.jp/log4j/

SHIFT SECURITYは、これからもさまざまな活動を通じてソフトウェアを誰もが安心・安全に使える社会の実現に貢献していきます。

【会社概要】
会社名 :株式会社SHIFT SECURITY
代表者 :松野真一
事業内容:脆弱性診断、セキュリティ監視、コンサルティング
設 立 :2016年6月
所在地 :東京都港区麻布台2-4-5 メソニック39MTビル
URL  :https://www.shiftsecurity.jp/

【本件に関するお問い合わせ】
株式会社SHIFT SECURITY 営業Div マーケティングチーム
E-mail: info@shiftsecurity.jp

 

  1. プレスリリース >
  2. 株式会社SHIFT SECURITY >
  3. 【緊急度「⾼」Log4jの脆弱性発生を受け】SHIFT SECURITYは『Log4j向け無償セキュリティ診断・フォレンジック調査』の提供を開始。