セキュリティー組織のJPCERTコーディネーションセンター(JPCERT/CC)は2021年12月11日、Javaのオープンソースのログ出力ライブラリー「Apache Log4j」に、第三者が遠隔から任意のコードを実行できてしまう脆弱性があるとしてWebサイトに注意喚起した。既に脆弱性を悪用するコードが公開されており、国内において脆弱性の悪用を試みる通信を確認したという。
JPCERT/CCによればこの脆弱性は、Log4jにおいてログとして記録した文字列の一部を変数として置換する「Lookup」に起因している。このうちJNDI(Java Naming and Directory Interface) Lookupと呼ぶ機能を悪用される恐れがある。具体的には、第三者が細工を施した文字列を遠隔から送信し、それをLog4jがログとして記録することで、Lookupで指定された通信先や内部パスからLog4jがJavaのクラス・ファイルを読み込んで実行してしまうという。
Log4jを開発するApache Software Foundation(ASF)は今回の脆弱性を修正したバージョン「2.15.0」を公開している。同バージョンではLookup機能がデフォルトで無効になった。ASFは、脆弱性の影響を受ける2.15.0以前の2系のバージョンについても回避策を公表した。JPCERT/CCは、Log4jのバージョンアップや回避策の実施、Log4jが動作するサーバーのアクセス制御の強化などの対策を講じるよう利用者に呼びかけている。
JPCERT/CCの注意喚起
[画像のクリックで拡大表示]
