SHIFT SECURITY、「Log4j向け無償セキュリティ診断・フォレンジック調査」の提供を開始
- 2021/12/24 11:00
- SecurityInsight
SHIFT SECURITYは12月20日、JPCERTコーディネーションセンターより公開された「Apache Log4jにおける任意のコードが実⾏可能な脆弱性」の注意喚起をうけ、脆弱性診断を無償で請け負う「Log4j向け無償セキュリティ診断・フォレンジック調査」を開始することを発表した。
無償セキュリティ診断では「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の2種類を用意している。
◇脆弱性診断
依頼されたページに対して、ログ出⼒されやすい情報であるURLとヘッダー(User-Agent, Referer)を対象にして脆弱性の概念実証コードを送信し、サーバーの応答を確認する。
●診断でわかること
・本脆弱性の影響を受けうるシステムかどうか
・URLや特定のヘッダーに脆弱性があるかどうか
・どのような対策を講じるべきか
◇フォレンジック調査(攻撃の痕跡確認)
今回確認されたLog4Shell脆弱性(CVE-2021-44228)の攻撃を受けていたかどうか「攻撃の痕跡有無」を調査。調査には「Webサーバーのアクセスログのご提供」が必要となる。
診断結果は、最短翌営業日までにメールで報告される。