2021年12月14日
Web セキュリティ専門企業である株式会社セキュアスカイ・テクノロジー(東京都千代田区 代表取締役
大木 元 以下、SST)は、Apache Log4j の任意のコード実行の脆弱性[CVE-2021-44228](以下、本脆弱
性)の危険性および緊急性を踏まえ、被害を受ける可能性を感じ、情報収集や対策を迅速に行う必要に迫ら
れている情報システム部門・IT 管理者と、IT に関わるすべての方に向けて、本脆弱性の注意喚起と影響緩和
を目的とした『Apache Log4j 脆弱性の影響緩和のために今できること』(提供形式:PDF/Web ページ 以
下、本資料)を 2021 年 12 月 14 日に緊急公開いたしました。
本活動を通じて、SST のミッションである「インターネットを安全にしたい」という想いの実現を目指し
て、多くの企業の安全な Web サイト運営に貢献してまいります。
●『Apache Log4j 脆弱性の影響緩和のために今できること』(PDF/Web ページ)
https://www.securesky-tech.com/2021/12/14/2038/
【アジェンダ】
- 今、何が起きているのか
- 「Apache Log4j」の脆弱性による影響の大きさ
- 影響を受ける範囲は?
- 被害を受けたらどうなるの?
- 情シス・IT 管理者が今できること(その 1〜その 3)
- IT に関わるすべての方(個人)が今できること
- 大事なお願い
● 緊急公開の背景
2021年12月11日に JPCERT/CC(1)より、2021 年 12 月 13 日に IPA(2)より Java で広く一般的に利
用されているログ記録用のライブラリ「Apache Log4j」にある深刻度の非常に高い脆弱性に対する注意喚起
が発表されました。その汎用性、攻撃の容易さ、影響範囲の広さにおいて、危険度が非常に高く、直接的に
Apache Log4j を利用している企業・サービスだけでなく、間接的に関わりのある企業・サービスにも影響
を及ぼす可能性があります。
本脆弱性の影響を受ける対象の判断が難しく、情報収集や緊急対応に迫られている情報システム部門・IT 管
理者と、IT に関わるすべての方向けに、本脆弱性の脅威と「今できること」を広く伝えることが影響緩和に
つながると考え、本資料の作成・公開に至りました。
(1) 【2021/12/11、13 JPCERT/CC】Apache Log4j の任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
(2) 【2021/12/13 IPA】Apache Log4j の脆弱性対策について(CVE-2021-44228)
● SST からのお願い
本脆弱性は緊急度および危険度が非常に高いため、情報システム部門の担当者や IT 管理者だけにとどまら
ず、企業経営者や IT に関わるすべての方に向けて本資料を公開しております。本脆弱性による被害拡大防止
と影響緩和の一助となりますようご活用ください。あわせて、本資料を必要とするより多くの方へお伝えい
ただけると幸いです。
本資料は、現時点で考えられる対応について、まとめたものであり、「これだけやれば大丈夫」ということ
ではなく、「今できること」をお伝えするものです。現在進行形で状況が変化しているため、各ベンダーや
セキュリティ機関など信頼できる情報源の最新情報を随時確認してください。
また、引き続き、利用しているシステム・サービス・ソフトウェアの提供元が発信する本脆弱性の影響に関
する情報収集と必要な対策の実施に努めていただけますようお願いいたします。
【株式会社セキュアスカイ・テクノロジー 会社概要】
社名 :株式会社セキュアスカイ・テクノロジー
本社所在地 :東京都千代田区神田司町 2-8-1 PMO 神田司町 2F
設立 :2006 年 3 月
代表者 :代表取締役 大木 元
事業内容 :Web アプリケーションの脆弱性診断
クラウド型 WAF サービス、セキュリティ教育・⽀援サービス、コンサルティング
URL :https://www.securesky-tech.com/
【本件に関するお問い合わせ】
株式会社セキュアスカイ・テクノロジー
広報担当 :大倉 千代子(おおくら ちよこ)
E-mail :pr@securesky-tech.com
TEL :050-5445-8822
