マイクラもハッキング ～「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】

さまざまなプロジェクトで広く使われているJava製のログ出力ライブラリ「Apache Log4j」にリモートコード実行（RCE）のゼロデイ脆弱性

　さまざまなプロジェクトで広く使われているJava製のログ出力ライブラリ「Apache Log4j」にリモートコード実行（RCE）のゼロデイ脆弱性が存在することが明らかになり、波紋が広がっています。

Apache Log4j2 jndi RCE#apache#rcehttps://t.co/ZDmc7S9WW7pic.twitter.com/CdSlSCytaD

— p0rz9 (@P0rZ9)December 9, 2021

　悪用は極めて容易で、一般ユーザーに身近なところでは「Minecraft」にも影響が出ているとのことで、サーバーを一時閉鎖したり、一斉アップデートする騒ぎにまで発展しています。

マイクラサーバー界隈全体への注意喚起です#整地鯖pic.twitter.com/2YidgCyiJh

— うんちゃま (@tsukkkkkun)December 9, 2021

　ニュースサイト「Cyber Kendra」によると、この脆弱性は11月24日にAlibaba Cloudのセキュリティチームによって報告されたとのこと。攻撃者が悪意のあるリクエストを送出すると、任意のコードがリモートから実行されてしまう可能性があります。

　この脆弱性を悪用するために特別な設定は不要で、「Apache Struts2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと。脆弱性の影響を受ける「Log4j」のバージョンはv2.0からv2.14.1までで、CVE番号はまだ割り当てられていません。

　「Log4j」は幅広く用いられているため、今までに挙げたソフトやフレームワーク、サービスのほかにも影響するものはかなり多そうです（「Steam」や「Apple iCloud」も影響を受けるとの情報も）。すでに対策版（v2.15.0）はすでにリリースされているようなので、一刻も早い対策が望まれます。

［2021年12月10日18:45編集部追記］ 「GitHub Advisory Database」によると「Log4j」の脆弱性は「CVE-2021-44228」のCVE番号が割り当てられるとのこと。現在のところ、脆弱性データベースサイト「NVD」では当該ページが予約済みの状態になっているが、いずれ公開されるものと思われる。

　また、「Minecraft」のサーバーに関する影響は大きいようで、Twitterでは解説や注意喚起のツイートが相次いでいる。起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もあるので、サーバーをすぐにアップデートできない場合は、試して見る価値があるだろう。

【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。https://t.co/8EWDGwrLWI

— SaziumR (@SaziumR)December 10, 2021

ちょっと移動中で詳しく確認できてないんですが、log4j2に任意コード実行の脆弱性があり、Minecraftサーバー等で任意のコードが実行できるらしいので、サーバー管理者各位は今すぐlog4j2を使用しているソフトウェアを更新しましょう

— RyotaK (@ryotkak)December 9, 2021