Log4jのゼロデイ脆弱性から学ぶ “ヤバい”ニュースを見落とさない組織になるコツ：半径300メートルのIT

Javaのロギングライブラリ「Apache Log4j」で外部環境から任意のコード実行が可能になる脆弱性（CVE-2021-44228）が大きな注目を集めています。こうした深刻な脆弱性が発見されたとき、迅速に対応できる組織になるにはどうすればいいのでしょうか。

[宮田健，ITmedia]

　2021年12月9日（米国時間）、非常に影響の大きなゼロデイ脆弱（ぜいじゃく）性が発覚しました。Javaのロギングライブラリ「Apache Log4j」（Log4j）で任意のコード実行が可能になる脆弱性で、CVE-2021-44228として採番されています。

　同脆弱性は一部では「Log4Shell」という名称が付けられており、脆弱性を評価するCVSSのスコアは「10.0」と、その危険性の高さが分かります。関連リンクについては記事下に掲載していますので必ずチェックしてください。

CVSSスコアは“10.0”（出典：Apache Software FoundationのWebサイト）

併せて読みたい関連記事

• 小さなミスを“大事件”に発展させないために　インシデントに強い組織になるために必要な仕組み
• セキュリティ強化には「団結して仲間を作れ」　でもどうやって？
• 実態調査で明らかになった「セキュリティ無関心層」の真実、IT担当の打ち手を考える

Log4Shellの概要を知る　今できる対策は？

　まずはLog4Shellの概要を簡単に説明します。Log4jは各種ログを収集、解析するライブラリで、可読性の観点からログの文字列を置き換える機能を備えています。今回発覚した脆弱性は同機能に関連しており、「Apache Log4j 2.15.0」より前の2系のバージョンに存在します。悪意ある第三者が細工した文字列をログに残すことで、Log4jがそれをコードとして認識し、任意のコードが実行されるコードインジェクション系の攻撃が成立します。