編集部からのお知らせ
「半導体動向」記事まとめ
「リスキリング」に関する記事まとめ

Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始

ZDNet Japan Staff

2021-12-12 11:07

 Javaのログ出力ライブラリー「Apache Log4j」で、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228)が報告された。JPCERT コーディネーションセンター(JPCERT/CC)が12月11日、この脆弱性を悪用する攻撃を日本で確認したとして緊急で注意喚起を発した。

 脆弱性は、Alibaba Cloud セキュリティチームのChen Zhaojun氏が報告し、米国時間9日に明らかになった。Log4jは、Javaアプリケーションのログを出力するライブラリーとして、多数のアプリケーションに実装されている。

 JPCERT/CCによれば、脆弱性はLog4jでログの文字列を一部を変数に置換する「Lookup」に起因する。これに含まれる「JNDI Lookup」機能が悪用された場合、遠隔から細工された文字列が送信されLog4jがログとして記録してしまうことで、Log4jがLookupで指定された通信先や内部のパスからjava classファイルを読み込んで実行する。これにより任意のコードが実行されてしまうという。脆弱性の影響を受けるバージョンは2.0-beta 9から2.14.1となる。

 既にこの脆弱性を悪用する概念実証(PoC)コードが公開され、JPCERT/CCが脆弱性の悪用を試みる通信を国内で確認している。脆弱性には「Log4Shell」という通称も付けられ始めた。開発元のApache Software Foundationによる分析では、共通脆弱性評価システム(CVSS)の基本値で最大の「10.0」となっている。

 Apache Software Foundationは、この脆弱性を修正したLog4j 2.15.0をリリースし、アプリ開発者などに適用など早期対応を促している。修正版ではLookupが初期設定で無効化された。また、脆弱性の影響を緩和する方法として、バージョン 2.10以降ではシステムプロパティーとして「log4j2.formatMsgNoLookups」を指定する、あるいは環境変数の「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に変更すること、2.0-beta 9から2.10よりも前のバージョンでは、クラスパス「zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class」から「JndiLookup」クラスを削除することを紹介している。

 Cisco SystemsAmazon Web Services(AWS)Salesforce.comVMwareIBMRed HatNetAppOracleは、一部の製品やサービスで脆弱性の影響を受けるバージョンのLog4jを使用しているとして、対応状況を発表した。

 また、Palo Alto NetworksSonicWallトレンドマイクロPulse Secureなどが製品への脆弱性の影響について調査している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 開発

    なぜ、コンテナー技術を使うことで、ビジネスチャンスを逃さないアプリ開発が可能になるのか?

  2. セキュリティ

    2022年、セキュリティトレンドと最新テクノロジーについて、リーダーが知っておくべきこと

  3. ビジネスアプリケーション

    全国1,800人のアンケートから見えてきた、日本企業におけるデータ活用の現実と課題に迫る

  4. 運用管理

    データドリブン企業への変革を支える4要素と「AI・データ活用の民主化」に欠かせないテクノロジー

  5. 経営

    テレワーク化が浮き彫りにしたリソース管理の重要性、JALのPCセットアップを支えたソフトウエア

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]