Log4jの脆弱性とは?
Log4jは、Apache Webサーバーを利用する多くのソフトウェアベンダーの製品やオンラインサービスプロバイダーに使用されています。また、Javaアプリケーションに明示的にLog4jを組み込んでいない場合も、様々なフレームワークやコンポーネントがLog4jを採用しているため、企業には慎重な確認と対応が求められます。
この脆弱性は、ユーザーが利用するフロントエンドのサービスでは発動しません。配管にたとえるなら、サービスプロバイダーのバックエンドの奥深くにある配管に入り、どこで爆発するかわからない危険な物体だということです。そして何よりも問題なのは、その配管があらゆるところに接続されていることです。
たとえば、マンションに住んでいて本来流してはいけないものを流してしまったとします。その物体は、パイプをふさいでしまい破裂を引き起こすかもしれません。また、配管の中で破裂せずともマンションの外に流れでていき、最終的には廃水処理施設までたどり着き爆発するかもしれないということです。
影響を受けるシステムは?
- ApacheLog4j2.15.0より前の2系のバージョン
- ApacheLog4j2.15.0-rc1(ApacheLog4j2.15.0の出荷候補版)
なお、既にEOL(製品ライフサイクルの終了)となっているApacheLog4j1系に関しては、ルックアップ機能が実装されていないため、影響を受けないとの情報が確認されています。
企業/一般ユーザーへの影響は?
Log4j自体は既にアップデートされており、パッチも用意されています。しかし現在は、同フレームワークを使用している多くのソフトウェアベンダーやサービスプロバイダーが、Log4jによって引き起こされる影響を評価し、自社製品/サービスへのパッチを順次提供している段階です。そのため、多少もどかしいところですが、エンドユーザーは企業の対応を待つしかないといえます。
