Javaのロギングライブラリ「Apache Log4j(以下Log4j)」に深刻な脆弱性、通称「Log4Shell」が発見されたことで、この1カ月あまり混乱が続いている。Log4jはログ出力などを目的に利用されるライブラリで、多くのベンダーが製品開発の際に組み込んでいる。攻撃者はLog4Shellを利用することで、リモートから悪意のあるコードを容易に実行できるとされており、既に海外を中心に被害が発生している。各ベンダーも製品のアップデートなど早急な対応を行っているが、膨大な数の製品が対象となることから、今後事態のさらなる深刻化も懸念される。
(岩田晃久)

 Log4jはWebアプリケーションサーバーやデータベース、セキュリティ製品、クラウドサービス、IoTデバイスなど、多くのIT製品の開発で利用されている。ユーザーは最初からLog4jが組み込まれている状態で製品を利用していることから、社内システムでどれだけLog4jが使用されているのか把握できていないケースが大半だ。

 Log4Shellが確認されたのは2021年11月24日で、その後12月6日にバージョンアップを行った「2.15.0」がリリースされたが、さらなる脆弱性が明らかになり、再度のバージョンアップが実施された。22年1月5日時点では「2.17.1」が最新バージョンとなっている。

 ITベンダーも対応に追われている。マイクロソフト、AWS、グーグル、IBMなど大手ベンダーでも自社の製品やサービスで影響が出たことから、随時、製品のアップデートやパッチ提供を行っている。

 海外ではLog4Shellを悪用した攻撃が既に多く確認されているという。Log4Shellに関するセミナーを開催したパロアルトネットワークスは、ランサムウェア攻撃、認証情報の搾取、仮想通貨採掘を目的とする「コインマイナー」の活動などのほか、IoT機器にワームを感染させボットネットの一部として攻撃を行っているといった被害も明らかになったとしている。