Apache Log4jのゼロデイ脆弱性。
12月9日ごろから、巷を賑やかしているJava用のログ出力ライブラリの「Apache Log4j」ですが、影響範囲が大きく、対応が急がれます。
Log4jはJavaプログラムでログを出力するときに使われるド定番のライブラリです。
今回の脆弱性は、特定の文字列をログに出力する際に、リモートに配置された任意のコードを実行してしまうというものです。
今回、Log4jに存在していた機能を悪用する攻撃が見つかってしまいました。
これが問題になるのは、ユーザーが入力した文字列をそのままログに出力している場合です。
「マインクラフト」では、サーバーとクライアントの両方で対策が必要になっています。
12月10日には国内のマインクラフトコミュニティにおいて、バージョンアップを呼びかける動きが広がりました。
こういうところを見ると、ITリテラシーは格段に上がっているとみても良いのかもしれませんね。
ほかにも、Webサイトのログイン画面や検索用のテキストボックスが狙われており、マインクラフト同様に入力値をLog4jでログに出力しているサイトが影響を受けています。
まあ、主要なWebサイトのフロントエンドはバックエンドから分離されていることが多いため、ダイレクトな影響があるわけではないとは思いますが、いずれにしろ迅速な対応が求められる状況ですね。
この脆弱性を利用する攻撃手法をインターネット上などで見かけたとしても、実際に試してみると罪に問われる恐れがあるため、一切手を出さないことをおすすめします。
