Log4Shellから2年 3分の1のアプリが脆弱なバージョンのLog4jを使用していると判明：セキュリティニュースアラート

Veracodeが実施した調査によると、アプリケーションの3分の1以上が脆弱なバージョンのLog4jを使っていることが分かった。Log4Shellが存在しているバージョンをいまだに使っている企業もあるという。

[後藤大地，有限会社オングス]

　セキュリティ企業のVeracodeは2023年12月7日（現地時間、以下同）、「Apache Log4j」（以下、Log4j）に関する脆弱（ぜいじゃく）性の調査結果を発表した。

VeracodeはLog4jに関する脆弱性調査の結果を公開した（出典：VeracodeのWebサイト）

3分の1以上のアプリが脆弱なバージョンのLog4jを使用中

　Log4jは2021年12月9日に「Log4Shell」と呼ばれる脆弱性（CVE-2021-44228）が発見されて大きな注目を集めた。このライブラリが使われているシステムが多かったことと、Log4Shellの深刻度が共通脆弱性評価システム（CVSS）で10.0というスコアだったことから企業に大きな影響を与えた。この脆弱性の発見から2年が経過し、Log4jの脆弱性を巡る状況の調査結果が報告されている。

　Veracodeの主な報告内容は以下の通りだ。

• アプリケーションの2.8％は依然としてLog4Shellが存在しているバージョンLog4j2 2.0-beta9〜2.15.0を使用している
• アプリケーションの3.8％は依然としてLog4j2 2.17.0を使用している。このバージョンはLog4Shellに対するセキュリティパッチは適用されているが、別のリモートコード実行の脆弱性（CVE-2021-44832）が含まれている。これを悪用すると、ロギング設定を変更する権限を持つ攻撃者が「JNDI URI」を参照するデータソースを使用して「JDBC Appender」経由で悪意ある設定を送信できるようになる
• アプリケーションの32％がLog4j2 1.2.xを利用している。このバージョンは2015年8月にサポートが終了しており、セキュリティパッチが提供されていない。2022年1月にはこれらのバージョンに影響を与える3つの脆弱性（CVE-2022-23307、CVE-2022-23305、CVE-2022-23302）が発表されており、本稿執筆時点で少なくとも7つの重大な脆弱性が存在している
• 全体としてアプリケーションの3分の1以上（38％）が脆弱なバージョンのLog4jを使っている

　Veracodeはこの状況に対して以下のように指摘している。

• Log4Shellの話題は大規模な取り組みを引き起こし、リスク軽減に対して効果的に機能した
• Log4Shellに対しては迅速にパッチが適用されたが、その後はパッチを適用しないという元の対応に戻ったところが多い
• 脆弱性を抱えたLog4jを使っているアプリケーションが3分の1以上存在しているという調査結果は、組織がオープンソースソフトウェア（OSS）のセキュリティリスクを軽減する方法を認識していない可能性があることを示唆している
• コードベースにサードパーティー製ライブラリを組み込んだ開発者の79％はその後に組み込んだライブラリをアップデートしないことが分かっており、Log4jのサポート終了バージョンが高い割合で使われている状況と一致している

　Veracodeによると、開発者はLog4jの脆弱性を修正するのに十分なスキルを有しているが、情報不足やリソース不足によってアップデートが追い付いていない状況を招いているという。