編集部からのお知らせ
「サイバー防衛」動向の記事まとめ
「半導体動向」記事まとめ

Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始

ZDNet Japan Staff

2021-12-12 11:07

 Javaのログ出力ライブラリー「Apache Log4j」で、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228)が報告された。JPCERT コーディネーションセンター(JPCERT/CC)が12月11日、この脆弱性を悪用する攻撃を日本で確認したとして緊急で注意喚起を発した。

 脆弱性は、Alibaba Cloud セキュリティチームのChen Zhaojun氏が報告し、米国時間9日に明らかになった。Log4jは、Javaアプリケーションのログを出力するライブラリーとして、多数のアプリケーションに実装されている。

 JPCERT/CCによれば、脆弱性はLog4jでログの文字列を一部を変数に置換する「Lookup」に起因する。これに含まれる「JNDI Lookup」機能が悪用された場合、遠隔から細工された文字列が送信されLog4jがログとして記録してしまうことで、Log4jがLookupで指定された通信先や内部のパスからjava classファイルを読み込んで実行する。これにより任意のコードが実行されてしまうという。脆弱性の影響を受けるバージョンは2.0-beta 9から2.14.1となる。

 既にこの脆弱性を悪用する概念実証(PoC)コードが公開され、JPCERT/CCが脆弱性の悪用を試みる通信を国内で確認している。脆弱性には「Log4Shell」という通称も付けられ始めた。開発元のApache Software Foundationによる分析では、共通脆弱性評価システム(CVSS)の基本値で最大の「10.0」となっている。

 Apache Software Foundationは、この脆弱性を修正したLog4j 2.15.0をリリースし、アプリ開発者などに適用など早期対応を促している。修正版ではLookupが初期設定で無効化された。また、脆弱性の影響を緩和する方法として、バージョン 2.10以降ではシステムプロパティーとして「log4j2.formatMsgNoLookups」を指定する、あるいは環境変数の「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に変更すること、2.0-beta 9から2.10よりも前のバージョンでは、クラスパス「zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class」から「JndiLookup」クラスを削除することを紹介している。

 Cisco SystemsAmazon Web Services(AWS)Salesforce.comVMwareIBMRed HatNetAppOracleは、一部の製品やサービスで脆弱性の影響を受けるバージョンのLog4jを使用しているとして、対応状況を発表した。

 また、Palo Alto NetworksSonicWallトレンドマイクロPulse Secureなどが製品への脆弱性の影響について調査している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 開発

    日本のコンテナ/Kubernetes環境の本番活用が遅れる理由を2つの調査結果分析から考察

  2. 運用管理

    日本企業のDX推進に立ちはだかる「データ利活用」の壁─壁を乗り越えるための5つのステージを知る

  3. セキュリティ

    支払った身代金の平均額は約17万米ドル、復元できた割合は65% - ランサムウェア被害の現実

  4. ビジネスアプリケーション

    DXを妨げる3つの障壁を解消、内製化アプローチとIT基盤構築でDXを実現するベストプラクティス

  5. セキュリティ

    専門家 1264人への調査結果が示す、ランサムウェア攻撃による深刻な被害コストの実態

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]