やじうまの杜

マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】

「CVE-2021-44228」のCVE番号が割り当てられる予定。かなり広範囲に影響か。

 “やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

さまざまなプロジェクトで広く使われているJava製のログ出力ライブラリ「Apache Log4j」にリモートコード実行(RCE)のゼロデイ脆弱性

 さまざまなプロジェクトで広く使われているJava製のログ出力ライブラリ「Apache Log4j」にリモートコード実行(RCE)のゼロデイ脆弱性が存在することが明らかになり、波紋が広がっています。

 悪用は極めて容易で、一般ユーザーに身近なところでは「Minecraft」にも影響が出ているとのことで、サーバーを一時閉鎖したり、一斉アップデートする騒ぎにまで発展しています。

 ニュースサイト「Cyber Kendra」によると、この脆弱性は11月24日にAlibaba Cloudのセキュリティチームによって報告されたとのこと。攻撃者が悪意のあるリクエストを送出すると、任意のコードがリモートから実行されてしまう可能性があります。

 この脆弱性を悪用するために特別な設定は不要で、「Apache Struts2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと。脆弱性の影響を受ける「Log4j」のバージョンはv2.0からv2.14.1までで、CVE番号はまだ割り当てられていません。

 「Log4j」は幅広く用いられているため、今までに挙げたソフトやフレームワーク、サービスのほかにも影響するものはかなり多そうです(「Steam」や「Apple iCloud」も影響を受けるとの情報も)。すでに対策版(v2.15.0)はすでにリリースされているようなので、一刻も早い対策が望まれます。

[2021年12月10日18:45編集部追記] GitHub Advisory Database」によると「Log4j」の脆弱性は「CVE-2021-44228」のCVE番号が割り当てられるとのこと。現在のところ、脆弱性データベースサイト「NVD」では当該ページが予約済みの状態になっているが、いずれ公開されるものと思われる。

 また、「Minecraft」のサーバーに関する影響は大きいようで、Twitterでは解説や注意喚起のツイートが相次いでいる。起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もあるので、サーバーをすぐにアップデートできない場合は、試して見る価値があるだろう。