ログ管理システムの (Log4j) 脆弱性にご注意 〜 Log4j の脆弱性注意喚起 〜
2021.12.11
2021年12月11日現在、Log4j (Apache Log4j) と呼ばれるログ管理ソフトウェアに脆弱性が発見され、大きな問題となっています。
Log4j とは、ログ出力のためのソフトウェアで、特に Java で書かれたソフトウェアにて広く用いられています。この度、この Log4j に攻撃者が任意の Java Class をロードし実行させることができる脆弱性が発見されました。
Java で書かれたソフトウェアを Web サーバにて
利用されている方はご注意下さい。
どのような攻撃かをとても簡単に説明しますと、下記の通りです。
- 攻撃者が Web サイトなどに、攻撃に用いるための特定の文字列を含んだ URL をリクエストします
- Web サーバはそれをエラーとしてログに記述します
- ログ管理システムである Log4j がそれを読み込み、攻撃者が仕組んだ文字列通りに攻撃ツールをダウンロードします
- 攻撃ツールが実行され、Web サーバの内部情報が流出、もしくは Web サーバが乗っ取られます
正確かつ詳しい情報は
等を御覧ください。
本脆弱性の対応方法は、
-
Apache Log4j をバージョン 2..15.0 の最新版にアップデートする
-
環境変数 LOG4J_FORMAT_MSG_NO_LOOKUPS を true として Log4j を実行する
となります。まず環境変数による緊急対応を行い、その後根本的な解決方法であるバージョンアップを必ず行って頂けますようお願いします。
学内にも脆弱性がある Log4j を使っているかを調べるための、攻撃者からのスキャニングが来ていることが観測されています。
SI センター
関谷 勇司