その他

Apache Log4jの脆弱性 点在する「Log4j」を把握しアップデートを セキュリティベンダーからは対策ツールも

2022/01/06 16:00

週刊BCN 2022年01月10日vol.1906掲載

 Javaのロギングライブラリ「Apache Log4j(以下Log4j)」に深刻な脆弱性、通称「Log4Shell」が発見されたことで、この1カ月あまり混乱が続いている。Log4jはログ出力などを目的に利用されるライブラリで、多くのベンダーが製品開発の際に組み込んでいる。攻撃者はLog4Shellを利用することで、リモートから悪意のあるコードを容易に実行できるとされており、既に海外を中心に被害が発生している。各ベンダーも製品のアップデートなど早急な対応を行っているが、膨大な数の製品が対象となることから、今後事態のさらなる深刻化も懸念される。
(岩田晃久)

 Log4jはWebアプリケーションサーバーやデータベース、セキュリティ製品、クラウドサービス、IoTデバイスなど、多くのIT製品の開発で利用されている。ユーザーは最初からLog4jが組み込まれている状態で製品を利用していることから、社内システムでどれだけLog4jが使用されているのか把握できていないケースが大半だ。

 Log4Shellが確認されたのは2021年11月24日で、その後12月6日にバージョンアップを行った「2.15.0」がリリースされたが、さらなる脆弱性が明らかになり、再度のバージョンアップが実施された。22年1月5日時点では「2.17.1」が最新バージョンとなっている。

 ITベンダーも対応に追われている。マイクロソフト、AWS、グーグル、IBMなど大手ベンダーでも自社の製品やサービスで影響が出たことから、随時、製品のアップデートやパッチ提供を行っている。

 海外ではLog4Shellを悪用した攻撃が既に多く確認されているという。Log4Shellに関するセミナーを開催したパロアルトネットワークスは、ランサムウェア攻撃、認証情報の搾取、仮想通貨採掘を目的とする「コインマイナー」の活動などのほか、IoT機器にワームを感染させボットネットの一部として攻撃を行っているといった被害も明らかになったとしている。

続きは「週刊BCN+会員」のみ
ご覧になれます。

(登録無料:所要時間1分程度)

新規会員登録はこちら(登録無料)

会員特典

詳しく見る
  1. 注目のキーパーソンへのインタビューや市場を深掘りした解説・特集など毎週更新される会員限定記事が読み放題!
  2. メールマガジンを毎日配信(土日祝をのぞく)
  3. イベント・セミナー情報の告知が可能(登録および更新)
    SIerをはじめ、ITベンダーが読者の多くを占める「週刊BCN+」が集客をサポートします。
  4. 企業向けIT製品の導入事例情報の詳細PDFデータを何件でもダウンロードし放題!
  • 1