Log4jの脆弱性に関して、よくある質問(FAQ)

Log4jの脆弱性に対応中の IT部門やサイバーセキュリティのご担当者にお役立ていただけるよう、技術的なFAQを以下にまとめました。

Apache Software Foundationは2021年12月9日、Log4jのバージョン2.0-beta9から2.14.1までに影響を及ぼす重大なリモートコード実行の脆弱性(CVE-2021-44228、別名Log4Shell)の修正版としてバージョン2.15.0をリリースしました。Log4jは、様々なApacheエンタープライズソフトウェアに組み込まれ、広く利用されているJavaベースのログ出力ライブラリです。12月9日以降、Log4jライブラリがさらに2回更新され、CVE-2021-45046(情報漏洩およびリモートコード実行に関する脆弱性)に対処するためのバージョン2.16.0に続き、12月18日にはCVE-2021-45105(悪用されるとDoS攻撃 (サービス拒否攻撃) を招きかねない脆弱性)に対処するためのバージョン2.17.0がリリースされています。

当社の専門家が本件について解説し、ご質問にお答えするウェビナー(Log4j Vulnerability: Ask Secureworks Experts)を12月15日に開催しました。アーカイブ動画はこちらから視聴いただけます。関連するブログ(12/15日付のLog4j: これまでにわかったこと、12月17日付のLog4Shell: 攻撃は簡単でも、達成は困難?、12月22日付のLog4j対策: 脅威ハンティングに関するアドバイス)も合わせてご一読ください。

詳細はこちら

参考記事:脆弱性管理とは?セキュリティ担当者が抑えておきたい対応ポイントと課題