Log4jの脆弱性とは
Apache Log4jの脆弱性とは、ロギングユーティリティLog4jの 2.15.0 より前の 2.xx 系バージョンにおけるログ読み取り機能のシステム的欠陥のことを指します。この脆弱性によりLog4jを利用しているシステムは第三者から悪意のあるコードを送信されることで、データの流出などの任意のコマンドを実行させられる可能性のあることが報告されています。
※ 2021年12月初旬に確認された脆弱性になります
b→dashの一部アプリケーションにおいてもLog4jを用いたシステム開発を行っており、Log4jの脆弱性の影響が確認されています。
本記事ではb→dashにおける「Log4jの脆弱性」の影響と対応について紹介します。
Apache Log4j(通称:Log4j)は、javaというプログラミング言語でシステム開発をする際に、ログの出力としてよく用いられているオープンソースのユーティリティソフト/ライブラリの1つです。
現在Apache Log4jは、 Apacheソフトウェア財団がサービスを提供しています。
(英:Apache Log4j公式ページ)
b→dashにおけるLog4jの脆弱性の影響
b→dashにおけるLog4jの脆弱性の影響については「❶ Log4jの脆弱性の影響範囲」「❷ Log4jの脆弱性のリスク」の2項目に分けて紹介します。
❶ Log4jの脆弱性の影響範囲
b→dashにおけるLog4jの脆弱性の影響範囲は、外部からのリクエストを受けるアプリケーションとアプリケーションの一部機能が該当します。
具体的には、b→dash 4.0の「web接客」「サイトレコメンド」の2つのアプリケーションの機能全てと、メールアプリの「メール開封ログ」機能、webサイトのアクセスログデータを取得する「webアクセスログ」機能でLog4jの脆弱性の影響が確認されています。
❷ Log4jの脆弱性のリスク
上記のアプリケーションと一部機能については、Log4jの脆弱性を利用した悪意のあるコードを送信された場合も、顧客データなどのデータ抜き取り発生のリスクはありません。該当機能のサーバーがダウンするリスクに留まります。
b→dashのLog4jの脆弱性への対応
b→dashのLog4jの脆弱性への対応は、「❶ 暫定対応」「❷恒久対応」の順で行っています。
❶ 暫定対応
恒久対応を行うまでの暫定対応として、上記の影響範囲に該当するアプリケーションと一部機能に利用されているAmazon Web services(AWS)、Google Cloud Platform(GCP)データベースに対して、Log4jの脆弱性を利用した悪意のあるリクエストを防止する機能の追加対応を行っています。
暫定対応は発生条件となるデータを完全にブロックするものであり、Log4jの脆弱性のリスクを払拭することできます。
2021年12月22日時点で、上記の影響範囲に該当する全てのアプリケーションと一部機能に対して暫定対応が完了しています。
AWS公式:Log4j 脆弱性に対する AWS セキュリティサービスを利用した保護、検知、対応
GCP公式:Apacheの「Log4j2」の脆弱性を調査して対応するためのGoogleCloudの推奨事項
❷ 恒久対応
恒久対応として、b→dashの開発で利用されているApache Log4jを「2.15.0バージョン」へアップデートする方針です。こちらの恒久対応については2021年1月18日を対応予定としています。
※アップデートするバージョンは、Apache Log4jのリリース状況により変更する場合があります