お知らせ

ログ管理システムの (Log4j) 脆弱性にご注意 〜 Log4j の脆弱性注意喚起 〜

2021.12.11

2021年12月11日現在、Log4j (Apache Log4j) と呼ばれるログ管理ソフトウェアに脆弱性が発見され、大きな問題となっています。

Log4j とは、ログ出力のためのソフトウェアで、特に Java で書かれたソフトウェアにて広く用いられています。この度、この Log4j に攻撃者が任意の Java Class をロードし実行させることができる脆弱性が発見されました。

Java で書かれたソフトウェアを Web サーバにて
利用されている方はご注意下さい。

どのような攻撃かをとても簡単に説明しますと、下記の通りです。

  1. 攻撃者が Web サイトなどに、攻撃に用いるための特定の文字列を含んだ URL をリクエストします
  2. Web サーバはそれをエラーとしてログに記述します
  3. ログ管理システムである Log4j がそれを読み込み、攻撃者が仕組んだ文字列通りに攻撃ツールをダウンロードします
  4. 攻撃ツールが実行され、Web サーバの内部情報が流出、もしくは Web サーバが乗っ取られます

 正確かつ詳しい情報は

 等を御覧ください。

 
本脆弱性の対応方法は、

となります。まず環境変数による緊急対応を行い、その後根本的な解決方法であるバージョンアップを必ず行って頂けますようお願いします。

 学内にも脆弱性がある Log4j を使っているかを調べるための、攻撃者からのスキャニングが来ていることが観測されています。


SI センター
関谷 勇司

一覧へ戻る