(更新) 2023年 03月 29日
(公開) 2022年 12月 15日
インフォサイエンス株式会社
プロダクト事業部
【2023年3月29日 更新】
第1版にてご案内したとおり、2023年3月15日に、マイクロソフト社からWindowsUpdate経由でセキュリティパッチが提供されました。
当該パッチの適用により、適用されたWindowsOSについては、強制的にWindows DCOMのセキュリティ対策が「有効」となります。
弊社では、上記パッチがマイクロソフト社から公開された後に、過去にご案内した以下の内容と同等の検証を実施し、当該パッチの適用有無によって、過去に弊社で検証を行った際と同様の動作、結果となることを確認いたしました。
平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。
マイクロソフト社より2021年6月8日に Windows OS の各製品における DCOM の脆弱性(CVE-2021-26414)について発表(※1)がございました。
また、本ページでは、今後2023年3月15日に掛けて数回にわたり、WindowsUpdate経由でセキュリティパッチが提供されるとともに、DCOMに関する挙動が一部変更される旨、公表されています。
上記の発表に基づき、本脆弱性と弊社製品に関する状況を以下の通り報告いたします。
※1:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26414
1. 本脆弱性について
1.1. 弊社製品への影響について
2022年12月15日現在の調査状況についてご報告します。(※2)
【調査の結果、本脆弱性の影響を受けないことが判明した製品】
・Logstorage
・Logstorage Agent
・Logstorage SecureBatchTransfer
・Logstorage SBT for WindowsEvent
・Logstorage SBT for Oracle
・Logstorage Logsource Controller
・Logstorage Agent 集中管理ツール
・Logstorage ADログオン・ログオフスクリプト
・Logstorage-X/SIEM
・Logstorage 突合コマンドオプション
・すべての連携パック
【本脆弱性の影響を受けることがある製品】
・Logstorage EventLogCollector
・Logstorage ELC Analytics
※2:バージョンの記載がない製品については、当該製品のリリース済の全バージョンについて影響がないことを確認しております。
1.2. 影響について
Logstorage EventLogCollector(以下「ELC」)、及びLogstorage ELC Analyticsに同梱されるELCでは、Windowsイベントログの収集に当たり、以下のコレクタを提供しています。
・Windowsイベント(Win32API)コレクタ
・Windowsイベント(ログソースモジュール)コレクタ
・Windowsイベント(WMI)コレクタ
・Windowsイベント(wevtutil)コレクタ
そのうち、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタについては、OSのDCOM機能を用いて、ネットワークを経由して収集対象サーバからイベントログを収集しています。
本件のパッチが適用され、挙動が変更される場合、ELCからログ収集対象への認証が失敗し、ログが収集できなくなるケースを確認しております。
ELC実行機と収集対象の本対策の有効・無効のそれぞれの組み合わせに応じて、以下の挙動となることを確認しました。
| ELC実行機 | ログ収集対象機 | ログ収集処理 |
|---|---|---|
| 有効 | 有効 | 問題なく実行できる |
| 有効 | 無効 | 問題なく実行できる |
| 無効 | 有効 | 実行に失敗する |
| 無効 | 無効 | 問題なく実行できる |
2022年12月現在でWindowsUpdateより提供されているパッチでは、本対策は既定値として「有効」となりますが、レジストリの変更により「無効」とすることが可能と案内されています。
2023年3月15日に提供される予定のパッチでは、設定にかかわらず、パッチを適用したすべてのWindowsOSで強制的に「有効」となることが案内されています。
ついては、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタを用いてイベントログを収集している環境では、以下のいずれかの対応が必要となります。
・ログ収集対象機にパッチを適用する場合は、ELC実行機もパッチを適用する
・ELC実行機にパッチを適用しない場合は、ログ収集対象機のパッチを適用しない
・収集手段をWindowsイベント(ログソースモジュール)コレクタに変更する
なお、すでにサポートが終了しているWindows Server 2008、同 R2 などのOSはマイクロソフト社からはパッチが提供されません。
現時点でマイクロソフト社からのサポートが終了しているWindows Server OS にELCをインストールして稼働させているお客様に於かれましては、2023年3月15日にマイクロソフト社からのパッチの適用について、対応のご検討をお願いいたします。
2. 連絡先
本件、ご質問等ございましたら、Logstorage サポート窓口まで、ご利用のLogstorageのユーザIDを併記の上お問い合わせください。
Logstorage サポート窓口については、弊社Webサイト Logstorage 保守について をご確認ください。
3. その他
本内容は2022年12月15日までに発表された内容に基づき公開しております。
脆弱性についての公開状況が変わった場合は、本内容も変更される場合がございます。
変更される場合は、本URLにて更新を行います。
以上
