情報セキュリティ

Apache Log4j の脆弱性対策について(CVE-2021-44228)

最終更新日:2021年12月27日

※追記すべき情報がある場合には、その都度このページを更新する予定です

概要

Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。

この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。

本脆弱性を悪用したと思われる攻撃が観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。

2021 年 12 月 14 日 更新

本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。

Apache Log4j が使用されているソフトウェア等の製品ベンダから情報が公開される可能性があります。各組織から提供される最新の関連情報をご確認ください。

影響を受けるシステム

2021 年 12 月 27 日 更新

Apache Log4j 2.15.0 より前の 2 系のバージョン ※ Apache Log4j 2.12 系のうち 2.12.2 以降を除く

2021 年 12 月 14 日 更新

※ Apache Log4j 2.15.0 の出荷候補版である Apache Log4j 2.15.0-rc1 も脆弱性の影響を受けるとのことです。

2021 年 12 月 20 日 更新

なお、すでに End of Life を迎えている Apache Log4j 1 系のバージョンは、Lookup 機能が含まれておらず、JMS Appender が有効でもクラス情報がデシリアライズされないため影響を受けないとの情報を確認しています。

特定の構成の場合、Apache Log4j 1 系のバージョンにおいても本脆弱性の影響を受ける可能性があるとのことです。

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

対策

1.脆弱性の解消 - アップデートを実施

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

2021 年 12 月 27 日 更新

Java 8 及びそれ以降の場合
  • Apache Log4j 2.17.0

※2.17.0 は、CVE-2021-45105 を対応したバージョンです。

Java 7 の場合
  • Apache Log4j 2.12.3

※2.12.3 は、CVE-2021-45105 を対応したバージョンです。

2.脆弱性の暫定的な回避策

2021 年 12 月 23 日 更新

以前の回避策は、特定の攻撃に対して不十分であったことがベンダによって明らかになりました。以下の回避策を適用することで、本脆弱性の影響を回避することが可能です。

  • JndiLookup クラスをクラスパスから削除する。

また、本脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化もご検討ください。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。

参考情報

2021 年 12 月 14 日 更新

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

  • 2021年12月27日

    影響を受けるシステム及び対策のバージョン情報に関して、記載内容を更新

  • 2021年12月23日

    回避策に対する記載内容を更新

  • 2021年12月20日

    対策についてのベンダリリースがあったため、内容を更新

  • 2021年12月14日

    国内での攻撃が観測されたため、内容を更新

  • 2021年12月13日

    掲載