「Apache Log4j」の脆弱性、今知っておきたいこと

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2021-12-14 12:48

 Java向けのログ出力ライブラリー「Apache Log4j」で見つかったゼロデイ脆弱性CVE-2021-44228」は、共通脆弱性評価システム(CVSS)で10.0という最大レベルのスコアが付与されており、インターネット上で現在最も大きな注目を集めるものとなっている。

 ニュージーランドのコンピューター緊急事態対策チーム(CERT)が現地時間12月10日、リモートコード実行を可能にするこの脆弱性が既に悪用されていると発表して以来、米サイバーセキュリティ・インフラセキュリティ庁(CISA)や英国家サイバーセキュリティセンター(NCSC)を含む、複数の国家サイバーセキュリティ機関も注意を喚起する警告を発出している。インターネットインフラストラクチャープロバイダーのCloudflareは、Log4jの悪用が12月1日から確認されていると指摘している。

リスクにさらされているデバイスやアプリケーションは?

 リスクを抱えているデバイスは基本的に、Log4jのバージョン2.0〜2.14.1が稼働しており、インターネットに接続しているものすべてだ。NCSCによると、影響のあるLog4jバージョン2(Log4j 2)ライブラリーは「Apache Struts2」「Apache Solr」「Apache Druid」「Apache Flink」「Apache Swift」などのフレームワークに含まれている。

 インターネットに接続されているIoTデバイスを主なターゲットにしてボットネットを構築しようとする「Mirai」マルウェアもこの脆弱性を悪用するようになっているとみられる。CiscoVMWareはそれぞれ、影響を受ける製品向けのパッチや緩和策を用意している。

 AWSは、この脆弱性が同社のサービスにどう影響するかを説明し、Log4jを利用するサービスへの対応を進めている。また、「CloudFront」などのサービス向けの緩和策をリリースしている。

 IBMも、同社のインフラや製品全般でLog4jの脆弱性に「アクティブに対応」していると述べている。同社は、「Websphere」の8.5と9.0などへの影響を確認している。

 Oracleもパッチを発行している。「この脆弱性の深刻さ、そしてエクスプロイトコードがさまざまなサイトで公開されていることから、Oracleは顧客がこのセキュリティアラートが提供するアップデートをできる限り迅速に適用するよう推奨する」としている。

対策など

 CISAは、Log4Jが稼働しており、インターネットに接続されているデバイスを洗い出し、「速やかに」Log4jのバージョン2.15.0以降にアップグレードするか、ベンダー各社が提供している緩和策を適用するよう勧告している。

 CISAのディレクターJen Easterly氏は米国時間12月11日、「はっきり言って、この脆弱性は極めて深刻なリスクをもたらす」とし、「われわれは、政府と民間セクターの協調的な取り組みで可能性のある影響を最小限に抑えるのみだ。この重要な取り組みですべての組織がわれわれに加わり、対策を講じるよう求める」と述べた

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]