最近話題になったセキュリティ関連のニュースから、Log4shell（CVE-2021-44228）に関する情報をまとめてみました。

2021/12/11

Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起

https://www.jpcert.or.jp/at/2021/at210050.html

JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性（CVE-2021-44228）があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があります。

Javaアプリケーションにおいて、ログ出力で広く使用されているライブラリ「Apache log4j」に深刻な脆弱性が報告されています（通称 Log4shell）。
同ライブラリのLookup機能を悪用されると、攻撃者は遠隔から細工した文字列を送信し、任意のコードが実行される可能性があります。
本脆弱性を悪用した実証コードが公開されており、また、すでに国内においても攻撃が確認されているようです。
CVSSv3.0スコアも最高値の「10」が設定されているため、速やかにアップデートすることを強くお勧めします。

・影響を受けるバージョン
Apache Log4j-core 2.0-beta9から2.15.0より前の2系のバージョン

・本脆弱性が修正されたバージョン
Apache Log4j 2.15.0
Apache Log4j 2.16.0　（12月14日時点での最新版）

すぐにアップデートが困難な場合には、各バージョンごとの回避策も公開されていますので、ご使用されているバージョンにあった対策をされることをお勧めします。

・関連記事
Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html
Apache Log4j の脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
Apache Log4jにおける任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU96768815/index.html

また、Apache log4jを使用している製品やサービスで、本脆弱性に関する情報を発信しているベンダーもあります。

・関連記事
The Log4J Vulnerability (CVE-2021-44228) – which F-Secure products are affected, what it means, what steps should you take
https://community.f-secure.com/common-business-en/kb/articles/9226-the-log4j-vulnerability-cve-2021-44228-which-f-secure-products-are-affected-what-it-means-what-steps-should-you-take
Vulnerability in Apache Log4j Library Affecting Cisco Products: December 2021
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
VMSA-2021-0028.2
https://blogs.vmware.com/security/2021/12/investigating-cve-2021-44228-log4shell-vulnerability.html?utm_source=rss&utm_medium=rss&utm_campaign=investigating-cve-2021-44228-log4shell-vulnerability

上記以外のベンダーからも、情報が発信される可能性があります。
ご使用されている製品、サービスのベンダーからの最新の情報をご確認ください。

まとめ

今回は、Apache Log4jの脆弱性に関する情報をまとめてみました。
すでに攻撃が確認されていることから、被害や影響が拡大する可能性があります。
アップデート情報含め、引き続き警戒が必要かと思います。

担当：F