セキュリティ情報

「Apache Log4j」に存在する脆弱性に対して各企業が注意喚起、Heartbleedと同レベルの深刻度の可能性も

Apache Log4jにリモートコード実行の脆弱性が発見された(CVE-2021-44228)。深刻度は最高の「Critical(緊急)」だが、MicrosoftやGoogleなどのベンダーが一斉に注意喚起を発表しており、深刻度は「Heartbleedと同レベルの可能性」「直近10年で1、2を争う可能性」もあるという。

影響を受けるとされるのは「Apache Log4j 2.0-beta9から2.14.1までのバージョン」であり、「Apache Log4j 2.15.0」でこの脆弱性が修正されている。

この脆弱性が重要視されている理由として、ログ機能に「Log4j」を採用しているシステムが通常のPCのみならず、さまざまな分野に渡って大量に存在している点が指摘されている。悪用されると、リモートから簡単に悪用できてしまうというものでもあり、システム管理者は注意が必要。

影響を受けるシステムは非常に広範囲にわたると見られており、また、この脆弱性の悪用を試みる動きも観測されているという。管理者は、今後の情報に逐次注意を払う必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
ASFの発表
米国担当部局の発表
Googleの注意喚起