SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

「Log4j」脆弱性で求められる対応とは? ランサムウェア攻撃の足掛かりにも

 12月10日(金)に、Apacheソフトウェア財団(以下、Apache)が公開しているJavaのログ出力ライブラリ「Log4j」の脆弱性(Log4ShellまたはCVE-2021-44228とも呼ばれる)が、多くの人々の目に触れるようになりました。テクノロジー企業の担当者たちはそれ以来、寝食も忘れて侵害を防止するために作業を続けています。本稿では、このLog4jの脆弱性について、自社での観測からの考察を交えて解説します。

Log4jの脆弱性とは?

 Log4jは、Apache Webサーバーを利用する多くのソフトウェアベンダーの製品やオンラインサービスプロバイダーに使用されています。また、Javaアプリケーションに明示的にLog4jを組み込んでいない場合も、様々なフレームワークやコンポーネントがLog4jを採用しているため、企業には慎重な確認と対応が求められます。

 この脆弱性は、ユーザーが利用するフロントエンドのサービスでは発動しません。配管にたとえるなら、サービスプロバイダーのバックエンドの奥深くにある配管に入り、どこで爆発するかわからない危険な物体だということです。そして何よりも問題なのは、その配管があらゆるところに接続されていることです。

 たとえば、マンションに住んでいて本来流してはいけないものを流してしまったとします。その物体は、パイプをふさいでしまい破裂を引き起こすかもしれません。また、配管の中で破裂せずともマンションの外に流れでていき、最終的には廃水処理施設までたどり着き爆発するかもしれないということです。

影響を受けるシステムは?

  • ApacheLog4j2.15.0より前の2系のバージョン
  • ApacheLog4j2.15.0-rc1(ApacheLog4j2.15.0の出荷候補版)

 なお、既にEOL(製品ライフサイクルの終了)となっているApacheLog4j1系に関しては、ルックアップ機能が実装されていないため、影響を受けないとの情報が確認されています。

企業/一般ユーザーへの影響は?

 Log4j自体は既にアップデートされており、パッチも用意されています。しかし現在は、同フレームワークを使用している多くのソフトウェアベンダーやサービスプロバイダーが、Log4jによって引き起こされる影響を評価し、自社製品/サービスへのパッチを順次提供している段階です。そのため、多少もどかしいところですが、エンドユーザーは企業の対応を待つしかないといえます。

次のページ
求められる対応は?

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

F-Secure(エフセキュア)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15368 2021/12/22 09:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング