【危険性TOPレベル】Log4Shell「Web改ざんリスクの脆弱性」

【未対応の企業多数】国内でも続く「Webサーバー攻撃」

log4shell_main.jpg

 

【Log4Shell】Javaライブラリに潜む脆弱性


多くのWebサーバーで利用されているJavaのログ出力ライブラリ「Log4j」に潜む脆弱性「Log4Shell」が2021年12月に報告されてから、約3ヶ月が経過しました。
本脆弱性では、Apacheを使いログ出力にJavaを使用しているWebサーバー、つまり「業務システム」「企業のサイト」「ECサイト」など、あらゆるWebサーバーが標的になります。

脆弱性を悪用された場合、Webサーバー上で任意のプログラムを実行される危険性があり、改ざんをはじめとするあらゆる被害が想定されることから、様々な危険性の評価基準において「トップレベル(危険性高)」とされています。

ネットワークセキュリティを手掛けるBarracuda Networks社の報告によると「日本国内からの攻撃はアメリカに続き世界第2位」であり、これからも続くと予想されています。
また、情報セキュリティ対策に取組むJPCERT/CCでは「①悪用を実証するコードが出回っていること」「②悪用を試みる通信が増加していること」を受け引続きの対策を呼びかけています。

しかしながら、多くの企業で「WebサーバーのどこでLog4jを使用しているのか調査し切れていない」のが実情です。

 

【対策】対象の洗出しとバージョンアップ・パッチ適用


「Log4Shell」の対策としては以下が挙げられます。
脆弱性が確認された「Log4j」のバージョンなど、詳細は下記リンクよりご確認ください。

①脆弱性診断による「Log4j」を使用しているWebサーバーの洗出し
②「Log4j」を使用している製品へのパッチ適用・ライブラリバージョンアップ

 

脆弱性を含む対象バージョンとは

log4shell_btn.png

 

出典:Barracuda Networks「Threat Spotlight: Attacks on Log4Shell vulnerabilities」
https://blog.barracuda.com/2022/03/02/threat-spotlight-attacks-on-log4shell-vulnerabilities/

 


株式会社ピーエスシーが提供しております「セキュリティマネージドサービス」は、経済産業省が策定した情報セキュリティ基準にした適合したサービスとして登録されております。なお、本登録は当社の「脆弱性診断サービス」に続く登録となります。security_service.png

 

■お電話でのお問合せ

0120-061-044

■メールでのお問合せ

insidesales@psc-inc.co.jp

■その他セキュリティサービス

https://www.psc-securities.com/

関連トピックス