東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

脆弱性を狙った攻撃事例

毎日、様々な脆弱性が見つかっています。今回は、2021年12月に公表された、Apache Log4j の脆弱性について紹介します。

Point① Apache Log4j の概要

Apache Log4jとは、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。 主にWebサーバなどのログ管理で利用されています。この Apache Log4j において、任意のコードが実行可能な脆弱性が発見されました。深刻度も最大10.0と緊急での対応が求められるほどでした。想定される影響として、「遠隔の攻撃者により細工された文字列を Log4j がログに記録することにより、システム上で任意の Java コードが実行される可能性がある」ためです。
この脆弱性の出現により、多くの企業で対応に迫られたのではないでしょうか?

Apache Log4j の攻撃の概要

Apache Log4j の攻撃の概要

Point② Apache Log4j の脆弱性への対策

開発者により、本脆弱性を修正した以下のバージョンが提供されています。開発者が提供する情報をもとに、最新版にアップデートしてください。なお、本アップデートでは、Log4j のLookup 機能が削除されており、JNDI へのアクセスがデフォルトで無効化されています。

*Java 8のユーザ向け修正版
  *Log4j 2.17.1

*Java 7のユーザ向け修正版
  *Log4j 2.12.4

*Java 6のユーザ向け修正
  *Log4j 2.3.2

出典:JVN iPedia
脆弱性対策情報データベース
https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-005429.html