2021年12月、Apache Log4jにリモートコード実行の脆弱性が発見された。この脆弱性はCVSSv3スコア値が最大の10と分析され、深刻度は「緊急(Critical)」と評価された。悪用が簡単で、かつ、リモートから任意のコードが実行可能、そして影響範囲が世界中のかなりの範囲に及ぶことから、この脆弱性について、セキュリティベンダーおよび各国のセキュリティ機関が繰り返し注意喚起を行った。この脆弱性はHeartbleedやShellshockに並ぶ最悪の脆弱性となる可能性が高いとし、「Log4Shell」という名称で呼ばれている。

Rezilionの研究者は4月27日、「Log4Shell 4 Months Later: Are You Still Vulnerable? - Rezilion」において、Log4Shellについて広く報道されたあとの修正状況を発表した。同氏は、Log4Shellに関する発表が行われて4カ月が経過した現在も、依然として数百万のJavaアプリケーションにLog4Shellが残っていると指摘している。

  • Log4Shell 4 Months Later: Are You Still Vulnerable? - Rezilion

    Log4Shell 4 Months Later: Are You Still Vulnerable? - Rezilion

Log4Shellを悪用したサイバー攻撃は情報が公開されてからすぐに活発になったが、Log4Shellに対するアップデートもすぐに公開された。しかし、実際にはこのアップデートが適用されていないJavaアプリケーションが依然として大量に存在していることが明らかになった。

Log4Shellを悪用したサイバー攻撃は現在でも日常的に観測されている。該当するソフトウェアを使用している場合は、再度Log4Shellについて調査および確認を行うとともに、アップデートを適用することが望まれる。