連載
» 2021年12月14日 07時00分 公開

Log4jのゼロデイ脆弱性から学ぶ “ヤバい”ニュースを見落とさない組織になるコツ半径300メートルのIT

Javaのロギングライブラリ「Apache Log4j」で外部環境から任意のコード実行が可能になる脆弱性(CVE-2021-44228)が大きな注目を集めています。こうした深刻な脆弱性が発見されたとき、迅速に対応できる組織になるにはどうすればいいのでしょうか。

[宮田健,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 2021年12月9日(米国時間)、非常に影響の大きなゼロデイ脆弱(ぜいじゃく)性が発覚しました。Javaのロギングライブラリ「Apache Log4j」(Log4j)で任意のコード実行が可能になる脆弱性で、CVE-2021-44228として採番されています。

 同脆弱性は一部では「Log4Shell」という名称が付けられており、脆弱性を評価するCVSSのスコアは「10.0」と、その危険性の高さが分かります。関連リンクについては記事下に掲載していますので必ずチェックしてください。

CVSSスコアは“10.0”(出典:Apache Software FoundationのWebサイト)

Log4Shellの概要を知る 今できる対策は?

 まずはLog4Shellの概要を簡単に説明します。Log4jは各種ログを収集、解析するライブラリで、可読性の観点からログの文字列を置き換える機能を備えています。今回発覚した脆弱性は同機能に関連しており、「Apache Log4j 2.15.0」より前の2系のバージョンに存在します。悪意ある第三者が細工した文字列をログに残すことで、Log4jがそれをコードとして認識し、任意のコードが実行されるコードインジェクション系の攻撃が成立します。

Copyright © ITmedia, Inc. All Rights Reserved.

セキュリティ

注目のテーマ