Apache Log4j の脆弱性に対するTwilioの対応
読む所要時間: 11 分
Twilioは、弊社製品とお客様のデータのセキュリティが最も重要であると考えており、そのセキュリティを脅かす可能性のあるインシデントが発生した場合には、可能な限りお客様にその事実をお伝えしています。そのため、先日発見されたJavaのログ出力ライブラリLog4jのゼロデイ脆弱性への対応について、以下に概要を説明いたします。
これまでの経緯
2021年12月9日、Apacheは、同社の人気JavaロギングライブラリLog4jにリモートコード実行(RCE)の脆弱性(CVE-2021-44228)があることを一般に公開しました(一覧、CVE-2021-44228)。同CVEの概要を確認した後、Twilioはセキュリティインシデントに対する対応プロセスを開始し、Twilio*への潜在的な影響を評価するとともに、該当の脆弱性を悪用した攻撃が仮りに行われた場合の修復措置を速やかに開始しました。(* SendGrid EmailやSegment CDPを含みます。)
弊社のこれまでの対応
その後の調査で、影響を受けるLog4jのバージョンのTwilio環境における利用状況を評価・特定しました。現在Twilioは、これら影響を受けるLog4jのバージョンをできるだけ早く修正するよう、主にパッチ適用をとおした取り組みを実施中です。
この調査・対応プロセスは現在も進行中ですが、弊社のセキュリティチームは、Twilio環境に影響を及ぼす脆弱性の悪用を未然あるいは速やかに検出・保護するための予防措置も講じています。本記事の投稿時点では、この脆弱性を悪用した事案は確認されておりません。弊社環境への不正アクセスに気付いた場合、影響を受けるお客様に対して遅滞なく通知いたします。
今後のステップ
Twilioのセキュリティインシデント・レスポンスチームは、今後何か変更等があった場合、このページ(=英語記事側)で更新をお知らせいたします。ご不明な点がございましたら弊社サポート部門まで、あるいはパートナー様を経由してTwilioサービスをご契約の場合にはパートナー様のサポート部門までお問い合わせください。
追記事項(米国時間 2021/12/15)
Twilioでは脆弱性管理のプロセスに従い、CVE-2021-44228で言及されているApache Log4j 2の脆弱性に対応するため、影響を受けるLog4jの使用に対してパッチ適用を鋭意実施中です。重要な脆弱性に対する弊社のパッチ適用のSLA(サービス品質保証)である7日以内にパッチ適用を完了させる見込みです。
Twilioはまた、Log4j 2.15.0のCVE-2021-44228に対処するための修正が、特定の非デフォルトの設定下で不完全であるという追加のセキュリティアドバイザリについても認識しています。Twilioでは、このアドバイザリの潜在的な影響を評価すると同時に、修正プロセスに従っています。
最後に、Twilioのセキュリティインシデント・レスポンスチームは、今後何か変更等があった場合、このページ(=英語記事側)で更新をお知らせいたします。
追記事項(米国時間 2021/12/16)
Twilioでは脆弱性管理のプロセスに従い、CVE-2021-44228で言及されているApache Log4j 2の脆弱性に対応するため、影響を受けるLog4jの使用に対してパッチ適用を鋭意実施中です。これまでのところ、お客様向けサービスのすべてにおいてApache Log4jバージョン2.15.0へのパッチ適用を完了しています。お客様向けではない、脆弱性リスクのあるサービスの残り数件については、現在鋭意パッチ適用中であり、同時に潜在的な悪用や攻撃から保護するための予防・検出機構を実装しています。
弊社はまたCVE-2021-45046で指摘された追加リスクを認識しており、バージョン2.15.0に完全にパッチ適用した後、可及的速やかにApache Log4jバージョン2.16.0へのパッチ適用を優先的に実施してまいります。
弊社はさらに、現在サードパーティーのサービスの評価を行っており、サブプロセッサーを含む重要なパートナーとの間で、Log4jの脆弱性の影響を受ける範囲や、修正に向けて実施されたステップを確認しているところです。これらは、サードパーティーのサービスが弊社に代わって処理する個人データが、弊社が約束した基準で保護されることを保証するためのアクションとなります。
現時点では、Twilioのお客様側で必要なアクションはありません。この状況に変更がある場合、弊社は影響を受けるすべてのお客様に可及的速やかに通知いたします。
今後は、追加のお知らせが必要と判断されるレベルの更新があった場合のみ、このブログ記事の更新を行うようにいたします。ご不明な点がございましたら弊社サポート部門まで、あるいはパートナー様を経由してTwilioサービスをご契約の場合にはパートナー様のサポート部門までお問い合わせください。
追記事項(米国時間 2021/12/17)
CVE-2021-45046に関連する新しい情報をふまえ、Twilioでは取り組みを強化することとし、影響を受けるすべてのサービスにおいてバージョン2.16.0へのパッチ適用を実施中です。重要な脆弱性に対する弊社のパッチ適用のSLA(サービス品質保証)である7日以内にパッチ適用を完了させる見込みです。
これら対応プロセスと並行して、弊社のセキュリティチームでは、Twilio環境に対する脆弱性の悪用を未然あるいは速やかに検出し、動的に保護するための追加予防措置を引き続き講じています。具体例として以下が挙げられます。(網羅的な列挙ではありません。)
- 今回の脆弱性を悪用した弊社環境に対する侵害の兆候を常時(24時間 x 7日)監視。〜 例: 任意のコード実行の兆候
- 悪意をもった者による侵害されたシステムまたはサービス内での更なる活動を常時(24時間 x 7日)監視。〜 例: 任意のコード実行を通した、悪意のある具体的な活動
- 業界のリーダー企業・組織から提供される信頼に足ると判断される情報を基とし、脅威・攻撃に対して準リアルタイムに動作する検知・防御システムを実装。この実装を用いて、監視・検知の能力をさらに強化し、各種ツールのルールセットを動的に更新。
現時点では、Twilioのお客様側で必要なアクションはありません。この状況に変更がある場合、弊社は影響を受けるすべてのお客様に可及的速やかに通知いたします。
追記事項(米国時間 2021/12/18)
Twilioでは、CVE-2021-45046で言及されているApache Log4j 2の脆弱性に対処するため、弊社の脆弱性管理のプロセスに従い、影響を受けるLog4jの使用に対してパッチ適用を鋭意継続しています。
Twilioではまた、追加のセキュリティアドバイザリを認識しています。この追加セキュリティアドバイザリでは、特定の設定の下で悪意のある行為者によって、Apache Log4jの2.16.0までのバージョンがサービス拒否(DoS)攻撃の踏み台として悪用される脆弱性があることが指摘されています。Twilioは、このアドバイザリの潜在的な影響を評価しており、対処プロセスに従ってまいります。
これら対応プロセスと並行して、弊社のセキュリティチームでは、Twilio環境に対する脆弱性の悪用を未然あるいは速やかに検出し、動的に保護するための予防措置を引き続き講じています。
現時点では、Twilioのお客様側で必要なアクションはありません。この状況に変更がある場合、弊社は影響を受けるすべてのお客様に可及的速やかに通知いたします。
追記事項(米国時間 2021/12/21)
Twilioでは脆弱性管理プロセスの一環として、CVE-2021-45046で言及された脆弱性を修正する対処を続けており、これまでのところ、影響を受けるお客様向けサービスのすべてについて修正対処を適切に完了しています。
また、CVE-2021-45105で言及された脆弱性を評価した結果、この脆弱性の悪用が可能となる条件と、悪用や攻撃から防御するために現時点で導入済みの保護措置をふまえ、弊社の脆弱性管理の標準プロセスに従って今後も対処を継続することと判断しています。
現在のところ、Twilioのお客様側で必要なアクションはありません。しかし、状況は動的かつ流動的であるため、弊社では引き続き関連する状況の進展を監視し、適宜情報更新をしてまいります。
追記事項(米国時間 2021/12/28)
Twilioでは、追加のセキュリティアドバイザリを認識しています。この追加セキュリティアドバイザリでは、特定の設定の下で、Apache Log4jの2.17.0までのバージョンがリモートコード実行(RCE)攻撃される脆弱性があることが指摘されています。
また、今回の脆弱性CVE-2021-44832を評価した結果、この脆弱性の悪用が可能となる条件と、悪用や攻撃から防御するために現時点で導入済みの保護措置をふまえ、弊社の脆弱性管理の標準プロセスに従って今後も対処を継続することと判断しています。
現時点で、Twilioのお客様側で必要なアクションはありません。前述しましたように、状況は流動的ですので、弊社では引き続きlog4jの脆弱性に関する状況の進展を監視し、適宜情報更新をしてまいります。
追記事項(米国時間 2022/1/24)
Twilioにおけるlog4jの脆弱性に関する対処が完了したことをご報告いたします。影響を受けるTwilioサービスのすべてについて、CVE-2021-44228、CVE-2021-44832、CVE-2021-45105、CVE-2021-45046において現時点で特定されている脆弱性を解消するレベルにパッチ適用が行われました。弊社では引き続きlog4jの脆弱性に関する状況の進展を監視し、状況への対処を適宜行ってまいります。