ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

» 2021年12月13日 16時40分 公開
[谷井将人ITmedia]

 プログラミング言語Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性について、JPCERT/CCが11日に攻撃の仕組みと対策方法を公開し、注意を促した。Log4jの機能「JNDI Lookup」が悪用されると、Log4jを含むアプリケーションなどを遠隔地から自由に操作される可能性がある。

photo JPCERT/CCの注意喚起

 Log4jは、エラー情報などのログを外部に出力するプログラム。Javaのプログラムの中でも広く使われるものの一つで、普及の度合いについて情報セキュリティ会社の米Cybereasonは「Apacheソフトウェア財団製プログラムは世界のWebサーバの3分の1が使っている」としている。米Amazon Web Serviceや米Oracle、米Red Hatなどのクラウドサービスベンダーも、すでに脆弱性への対応を進めている。

 iCloudやSteam、Minecraftなどユーザーの多いサービスやアプリケーションでも使われているため、悪用された場合の影響範囲が大きい。対象のバージョンはApache Log4j 2.15.0より前の2系。1系のバージョンも影響を受けるとする報告もあったが、1系にはLookup機能が含まれておらず、「JMS Appender」という機能が有効であってもこの脆弱性の影響は受けないとする情報をJPCERT/CCは確認したとしている。

 今回見つかった脆弱性は、Log4jのJNDI lookup機能が原因。JNDI Lookupはログとして記録された文字列を加工してランタイムに出力する役割を持っている。これを悪用すれば、攻撃対象のサービスやアプリに対し、細工を施した文字列を遠隔地から送信するだけで、指定の場所からプログラムをダウンロードして実行させることが可能になる。ログを記録させるだけでいいため、認証をくぐり抜ける必要も無い。

 JPCERT/CCは11日までに、この脆弱性を悪用するコードが公開されていることを発見。悪用を試みる通信も確認したとして注意喚起している。

 対策方法は、修正バージョンへの更新、Lookup機能をオフにするなど。バージョン2.15.0以降であればLookup機能が標準でオフになっている。この他、Log4jを使っているiCloudなどのサービスやアプリの更新状況をチェックすること、通信ログなどを見て攻撃がないか確認すること、アクセス制限を掛けることなどを推奨している。

photo 対策方法

Copyright © ITmedia, Inc. All Rights Reserved.