「Apache Log4j」の脆弱性問題--これまでの経緯や知っておくべきこと

【ラウンドアップ】

　Java向けのログ出力ライブラリー「Apache Log4j」で見つかった脆弱性「CVE-2021-44228」は、その影響から大きな注目を集めるものとなっている。ここでは同脆弱性の問題について、これまでの経緯や知っておくべきことなどをまとめた。

経緯

• Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始

  Javaのログ出力ライブラリー「Log4j」で深刻な脆弱性が見つかり、これを悪用する攻撃が日本で確認された。

  2021-12-12

• Apache Log4jの脆弱性問題、さらなる修正版が公開

  Apache Log4jの脆弱性にさらなる修正が加えられた「Apache Log4j 2.16.0」と「Log4j 2.12.2」がリリースされている。

  2021-12-14

• CISA、米政府機関に「Log4j」のパッチ適用を命令--12月24日までに

  米サイバーセキュリティ・インフラセキュリティ庁（CISA）は米連邦政府機関に対し、12月24日までに「Apache Log4j」の脆弱性にパッチを適用するよう命じた。

  2021-12-15

• 「Apache Log4j」の脆弱性を狙う攻撃が増加の一途

  「Apache Log4j」の脆弱性を悪用しようとする攻撃が増え続けているようだ。

  2021-12-15

• 「Apache Log4j」の脆弱性、国家を後ろ盾とするハッカーが悪用--マイクロソフトが警告

  マイクロソフトによると、中国、イラン、北朝鮮、トルコといった国家の支援を受けたハッカー集団が、「Apache Log4j」の脆弱性を悪用し、ランサムウェアなどのマルウェアを仕掛けようとしている。

  2021-12-16

• 「Apache Log4j」の脆弱性、日本への悪用攻撃が増加傾向に

  「Apache Log4j」の脆弱性悪用を狙っていると見られる攻撃が国内で増加している。

  2021-12-17

• Apache Log4jにまた脆弱性、バージョン2.17.0公開

  Apache Log4j 2.0-alpha1～2.16.0にDoSの脆弱性が見つかった。

  2021-12-20

• CISA、米政府機関に「Log4j」への即時対応を命じる緊急指令

  米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、米連邦政府機関に対して、ただちに「Apache Log4j」の脆弱性を修正するよう命じる緊急指令を発表した。

  2021-12-20

• 「Apache Log4j」の脆弱性、3万5000超のJavaパッケージに影響の恐れ--グーグル調査

  「Apache Log4j」の脆弱性に関する話題が続いている。

  2021-12-20

• ベルギー国防省に「Apache Log4j」を悪用したサイバー攻撃

  ベルギー国防省は、同省のネットワークが「Apache Log4j」の脆弱性を利用したサイバー攻撃を受けたことを認めた。

  2021-12-21

• 「Log4j」でCISAらがアドバイザリー--攻撃者によるネットワークスキャンが多発

  米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティリーダーが「Apache Log4j」について、さまざまな情報を含む新しいアドバイザリーを発表した。

  2021-12-24

• CISAやCrowdStrike、「Log4j」向けスキャナーを提供--限界があるとの指摘も

  サイバーセキュリティ企業や研究者が、Javaのログ出力ライブラリー「Apache Log4j」の脆弱性を検出する多数のスキャナーを提供するなか、米サイバーセキュリティ・インフラセキュリティ庁（CISA）も独自のスキャナーを公開した。

  2021-12-24

• 「Apache Log4j」の脆弱性悪用に引き続き要警戒--マイクロソフト

  マイクロソフトは、「Apache Log4j」の脆弱性を突く「Log4Shell」攻撃の標的となるシステムを洗い出そうとする偵察行動が12月を通じて観測されていたとし、「Windows」ユーザーや「Microsoft Azure」の顧客に対して、引き続き警戒するよう警告している。

  2022-01-05

• 「Apache Log4j」の脆弱性、適切な対策怠った企業にFTCが法的措置の可能性

  米連邦取引委員会（FTC）は企業に対し、「Apache Log4j」の脆弱性に対処するよう促した。適切な対策をとらない企業の責任を追及するとしている。

  2022-01-06

• 「Log4j」の脆弱性に関連する「深刻な侵入」見られずも要警戒--CISA長官ら

  米サイバーセキュリティ・インフラセキュリティ庁（CISA）の長官らは、現時点で「Log4Shell」脆弱性を悪用した深刻な侵入は米国で報告されていないが、今後も悪用される恐れがあると述べた。

  2022-01-11

知っておくべきこと

• 「Apache Log4j」の脆弱性、今知っておきたいこと

  Log4jの脆弱性は、クラウドサービスから開発者ツール、セキュリティデバイスまで広範に影響が及ぶ可能性があるようだ。

  2021-12-14

専門家の見解

• 「Log4j」悪用する攻撃、収束には「数カ月」か--サイバーセキュリティ専門家

  サイバーセキュリティの専門家は、「Log4j」のリモートコード実行の脆弱性である「CVE-2021-44228」に対応するには、数年とは言わないまでも、数カ月かかると考えている。

  2021-12-15

• 「Apache Log4j」の脆弱性、ワーム化の懸念など--セキュリティ専門家はどう考える？

  「Log4Shell」を悪用するワームが作られ、武器化されることは「最大の懸念」だとする研究者がいる一方、恐怖が「強調されすぎている」と指摘する専門家もいる。

  2021-12-21

• 「Apache Log4j」の脆弱性への対応、考慮するべき10の問い--英政府機関NCSC

  「Apache Log4j」の問題は一夜にして解決できるものではない。英国家サイバーセキュリティセンター（NCSC）は、この問題に対応する上で、専任のITチームを擁する中規模、大規模の組織が考慮するべき10の問いを挙げている。

  2021-12-22