中小企業の皆さん！ApacheLog4jの脆弱性を放置しないね。（注意喚起）

先週から、Apache Log4j の脆弱性問題が世界中のインターネット業界で駆け巡っています。それもそのはずで、悪意ある第三者が任意のコードを実行できるからです。端的に言いますと、この Apache Log4j の脆弱性を持つサーバは、ランサムウェアの標的（餌食）となるからです。 また、この Log4j は Apacheが開発するJava用ライブラリで、Javaのアプリではよく使用されています。なので、影響を受ける Java ソフトウェアは莫大な数と言われています。

以下は、IPAからの情報です。
Apache Log4j の脆弱性対策について(CVE-2021-44228)

このIPAでのホームページでは対処方法が２つ記載されていますが、実は問題点もありますね。(- -)

1. 対策１. Apache Log4j (2.17.0) のアップデートを実施
2. 対策２.脆弱性の暫定的な回避策　例. Log4Jのlookup機能を無効にする
   

しかし、実際に現場の声（私の環境）は以下ですね。 (- -)

1. 対策１は待ち状態。ユーザー側で Log4j のライブラリーを個別にアップデートすることはできず、ソフトウェアをサポートするベンダーからはパッチリリース待ち。
2. 対策２でも防御できない攻撃有。例え、Log4Jのlookup機能を無効にしても、それを回避して攻撃できるようです。新規にCVE-2021-45105 の脆弱性が公表された。

なので、現在ゼロディ攻撃を受けているサーバが多数あるのではないでしょうか。
現に被害も出始めています。以下がそのネットニュースです。

Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、暗号資産マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題

中小企業の皆様への具体的な対応

という訳で、このApacheLog4jの脆弱性は対岸の火事でありません。ランサムウェアの標的（餌食）には大企業も中小企業もありませんので。よって、以下の施策をお薦めします。

1. 企業内で使用しているソフトウェアについて、 Apache Log4j の脆弱性有無を調査。
   対象ライブラリー: Apache Log4j 2.15.0 より前の 2 系のバージョン。
   分からない場合は、サポートベンダー等に問合せ。
2. もし対象ライブラリーがあれば、パッチ修正したソフトウェアに更新する。
   最新ライブラリー Apache Log4j 2.17.0 以上を採用したソフトウェアへ更新 。
   分からない場合は、サポートベンダー等に問合せ。
3. パッチ修正したソフトウェアがリリースされるまで（その１）。
   ランサムウェアに備えて、重要なデータはHDD等にバックアップしておきましょう。当然ながら、HDD等は脆弱性がないようにして下さい。一番安心なのは、ネットに接続しないことです。
4. パッチ修正したソフトウェアがリリースされるまで（その２）。
   脆弱性に適用した最新ソフトウェアが準備中のケースが多いかと。その期間、ゼロディ攻撃を軽減するためにも、軽減策である「Log4Jのlookup機能を無効にする」を実施。
   分からない場合は、Log4Jのlookup機能を無効にする方法をサポートベンダー等に問合せ。

 

参考情報

「事業内容」 はこちらから

情報セキュリティに興味がある方は、「 情報セキュリティ 」一覧へ

お問合せ はこちらから