世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説
JavaライブラリApache Log4jで見つかった脆弱性について、JPCERT/CCが攻撃の仕組みと対策方法を公開し注意を促した。
プログラミング言語Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性について、JPCERT/CCが11日に攻撃の仕組みと対策方法を公開し、注意を促した。Log4jの機能「JNDI Lookup」が悪用されると、Log4jを含むアプリケーションなどを遠隔地から自由に操作される可能性がある。
Log4jは、エラー情報などのログを外部に出力するプログラム。Javaのプログラムの中でも広く使われるものの一つで、普及の度合いについて情報セキュリティ会社の米Cybereasonは「Apacheソフトウェア財団製プログラムは世界のWebサーバの3分の1が使っている」としている。米Amazon Web Serviceや米Oracle、米Red Hatなどのクラウドサービスベンダーも、すでに脆弱性への対応を進めている。
iCloudやSteam、Minecraftなどユーザーの多いサービスやアプリケーションでも使われているため、悪用された場合の影響範囲が大きい。対象のバージョンはApache Log4j 2.15.0より前の2系。1系のバージョンも影響を受けるとする報告もあったが、1系にはLookup機能が含まれておらず、「JMS Appender」という機能が有効であってもこの脆弱性の影響は受けないとする情報をJPCERT/CCは確認したとしている。
今回見つかった脆弱性は、Log4jのJNDI lookup機能が原因。JNDI Lookupはログとして記録された文字列を加工してランタイムに出力する役割を持っている。これを悪用すれば、攻撃対象のサービスやアプリに対し、細工を施した文字列を遠隔地から送信するだけで、指定の場所からプログラムをダウンロードして実行させることが可能になる。ログを記録させるだけでいいため、認証をくぐり抜ける必要も無い。
JPCERT/CCは11日までに、この脆弱性を悪用するコードが公開されていることを発見。悪用を試みる通信も確認したとして注意喚起している。
対策方法は、修正バージョンへの更新、Lookup機能をオフにするなど。バージョン2.15.0以降であればLookup機能が標準でオフになっている。この他、Log4jを使っているiCloudなどのサービスやアプリの更新状況をチェックすること、通信ログなどを見て攻撃がないか確認すること、アクセス制限を掛けることなどを推奨している。
関連記事
- “Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
Javaライブラリ「Apache Log4j」で見つかった、任意のコードを実行できる脆弱性を巡り、米Cybereasonが脆弱性を修正するプログラムを公開した。“ワクチン”のように脆弱性を活用して問題を修正できる。 - 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。 - 日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで「復旧困難」
「システムの起動そのものが不可能で、データの復旧の手段はない」――製粉大手のニップンに、前例のない規模のサイバー攻撃。一度の攻撃で大量のデータが同時多発的に暗号化され、決算作業もできなくなった。 - 重大なリスクをもたらすremote attackは、他人のコンピュータを遠隔操作する
IT関連ニュースに登場する英語を深掘りしていく連載、今回はリモート攻撃。 - IPアドレスの例示で「xxx.〜」は使ってはいけない? 「めんどくさい説教かと思ったら違った」などの反応続々
「IPアドレスの例示で『xxx.xxx.xxx.xxx』を使うな」――そう訴えるTwitterの投稿が話題になっている。「めんどくさい説教かと思ったら違った」「急いで例示を直した」といった反応が相次いでいる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.