12月10日(金)に、Apacheソフトウェア財団(以下、Apache)が公開しているJavaのログ出力ライブラリ「Log4j」の脆弱性(Log4ShellまたはCVE-2021-44228とも呼ばれる)が、多くの人々の目に触れるようになりました。テクノロジー企業の担当者たちはそれ以来、寝食も忘れて侵害を防止するために作業を続けています。本稿では、このLog4jの脆弱性について、自社での観測からの考察を交えて解説します。
Log4jの脆弱性とは?
Log4jは、Apache Webサーバーを利用する多くのソフトウェアベンダーの製品やオンラインサービスプロバイダーに使用されています。また、Javaアプリケーションに明示的にLog4jを組み込んでいない場合も、様々なフレームワークやコンポーネントがLog4jを採用しているため、企業には慎重な確認と対応が求められます。
この脆弱性は、ユーザーが利用するフロントエンドのサービスでは発動しません。配管にたとえるなら、サービスプロバイダーのバックエンドの奥深くにある配管に入り、どこで爆発するかわからない危険な物体だということです。そして何よりも問題なのは、その配管があらゆるところに接続されていることです。
たとえば、マンションに住んでいて本来流してはいけないものを流してしまったとします。その物体は、パイプをふさいでしまい破裂を引き起こすかもしれません。また、配管の中で破裂せずともマンションの外に流れでていき、最終的には廃水処理施設までたどり着き爆発するかもしれないということです。
影響を受けるシステムは?
- ApacheLog4j2.15.0より前の2系のバージョン
- ApacheLog4j2.15.0-rc1(ApacheLog4j2.15.0の出荷候補版)
なお、既にEOL(製品ライフサイクルの終了)となっているApacheLog4j1系に関しては、ルックアップ機能が実装されていないため、影響を受けないとの情報が確認されています。
企業/一般ユーザーへの影響は?
Log4j自体は既にアップデートされており、パッチも用意されています。しかし現在は、同フレームワークを使用している多くのソフトウェアベンダーやサービスプロバイダーが、Log4jによって引き起こされる影響を評価し、自社製品/サービスへのパッチを順次提供している段階です。そのため、多少もどかしいところですが、エンドユーザーは企業の対応を待つしかないといえます。
この記事は参考になりましたか?
- この記事の著者
-
この記事は参考になりましたか?
この記事をシェア
