【緊急公開資料】情報システム部門・IT管理者、ITに関わるすべての方向け『Apache Log4j 脆弱性の影響緩和のために今できること』

公開日:2021/12/14
最終更新日:2021/12/16

SSTは、Apache Log4j の任意のコード実行の脆弱性[CVE-2021-44228]の危険性および緊急性を踏まえ、被害を受ける可能性を感じ、情報収集や対策を迅速に行う必要に迫られている情報システム部門・IT管理者と、ITに関わるすべての方に向けて、本脆弱性の注意喚起と影響緩和を目的とした『Apache Log4j 脆弱性の影響緩和のために今できること』(提供形式:PDF/Webページ)を2021年12月14日に緊急公開いたしました。

アジェンダ

  • 今、何が起きているのか
  • 「Apache Log4j」の脆弱性による影響の大きさ
  • 影響を受ける範囲は?
  • 被害を受けたらどうなるの?
  • 情シス・IT管理者が今できること(その1〜その3)
  • ITに関わるすべての方(個人)が今できること
  • 大事なお願い

本資料の背景

2021年12月11日にJPCERT/CC(*1)より、2021年12月13日にIPA(*2)よりJavaで広く一般的に利用されているログ記録用のライブラリ「Apache Log4j」にある深刻度の非常に高い脆弱性に対する注意喚起が発表されました。その汎用性、攻撃の容易さ、影響範囲の広さにおいて、危険度が非常に高く、直接的にApache Log4jを利用している企業・サービスだけでなく、間接的に関わりのある企業・サービスにも影響を及ぼす可能性があります。

本脆弱性の影響を受ける対象の判断が難しく、情報収集や緊急対応に迫られている情報システム・IT管理者と、ITに関わるすべての方向けに、本脆弱性の脅威と「今できること」を広く伝えることが影響緩和につながると考え、本資料の作成・公開に至りました。

(*1) 【JPCERT/CC】Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
(*2) 【IPA】Apache Log4jの脆弱性対策について(CVE-2021-44228)

SSTからのお願い

本脆弱性は、緊急度および危険度が非常に高いため、情報システム部門の担当者やIT管理者だけにとどまらず、企業経営者やITに関わるすべての方に向けて本資料を公開しております。本脆弱性による被害拡大防止と影響緩和の一助となりますようご活用ください。あわせて、本資料を必要とするより多くの方へお伝えいただけると幸いです。

本資料は、現時点で考えられる対応について、まとめたものであり、「これだけやれば大丈夫」ということではなく、「今できること」をお伝えするものです。現在進行形で状況が変化しているため、各ベンダーやセキュリティ機関など信頼できる情報源の最新情報を随時確認してください。

また、引き続き、利用しているシステム・サービス・ソフトウェアの提供元が発信する本脆弱性の影響に関する情報収集と必要な対策の実施に努めていただけますようお願いいたします。

[更新履歴]
2021/12/16 関連情報追記