IPAやJPCERT/CCから『Apache Log4jの脆弱性（CVE-2021-44228）に関する注意喚起』が報告されています。

１　概要

Apache Log4jには、任意のコード実行の脆弱性（CVE-2021-44228）があり、Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があると報告しています。

また、本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があり、今後被害が拡大するおそれがあるため、至急、対策を実施する必要があります。

２　対象

本脆弱性の影響を受けるバージョンは、以下のとおりです。

• Apache Log4j-core 2.15.0より前の2系のバージョン
  ※Apache Log4j 1 系のバージョンは、Lookup 機能が含まれておらず、JMS Appender が有効でもクラス情報がデシリアライズされないため影響を受けないとのことです。

３　対策

開発者が提供する下記サイトの情報を確認して、アップデート等の対策を取りましょう。

• Apache Log4j Security Vulnerabilities
  Apache Log4j Security Vulnerabilities

• Download Apache Log4j 2
  https://logging.apache.org/log4j/2.x/download.html

関連リンク

• Apache Log4j Security Vulnerabilities
• （IPA）更新：Apache Log4j の脆弱性対策について(CVE-2021-44228)
• (JPCERT/CC)　Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起

【ガイドブック】

• 全般的な脅威と対策は ⇒ ガイドブック『中小企業向けサイバーセキュリティ対策の極意』
• 相談先クイックリスト
  • ⇒ もしかしてサイバー攻撃？ 緊急時には、ここに連絡を！【詳細版】
  • ⇒ やられる前に、しっかり予防を！ ここに相談！【詳細版】
  • ⇒ セキュリティお役立ちリンク集！【詳細編】