TOPセキュリティ > Log4jの脆弱性への対応策、チェックすべき情報は(前)

セキュリティ

Log4jの脆弱性への対応策、チェックすべき情報は(前)

2022/01/12

Susan Bradley CSO

 Javaのログ出力ライブラリー「Log4j」で見つかった脆弱性「CVE-2021-44228」(通称Log4Shell)は、2021年12月上旬にネットを大きく騒がせた。Log4jはApache Logging Servicesプロジェクトの管轄下にあるライブラリーで、膨大な数のアプリケーションで利用されている。この記事では、防御対策について基本的な情報を確認しておく。

Credit: Thinkstock
Credit: Thinkstock

 業務アプリケーションを内製している大企業であれば、Log4jを使っているかどうかは、おそらく社内の開発者が判断でき、早々に対策を講じたことだろう。こうしたアプリケーションの場合は、Log4jを最新バージョンにアップデートすれば対応できる。

 一方、中小企業などの場合、この脆弱性が潜んでいるソフトウエアを使っているのかどうか、判断が付かない場合もある。セキュリティー企業やベンダーが発信する情報を随時チェックし、自社への影響を認識する必要がある。

Log4jの脆弱性の有無をチェックするツール

 自社のアプリケーションにこの脆弱性が存在するかどうかを簡単にテストする手段としては、米セキュリティー企業Huntressが公開したテスターがある。この脆弱性に対する攻撃手法が使用可能な状態にあるかチェックできるツールだ。

↑ページ先頭へ