サーバーの操作記録などを残すためのソフトウエアで、世界中で広く使われているApache Log4j2に、深刻なぜい弱性が見つかり、悪用されると情報を引き出されたり、最悪の場合、サーバーの管理者権限を奪われたりするおそれもあるとして、情報セキュリティー機関がソフトを使用している事業者などに対して早急に対策をとるよう呼びかけています。
ぜい弱性が見つかったのは、コンピューターのサーバーの操作履歴などの記録を残すために使われているApache Log4j2です。
情報処理推進機構、通称IPAからの情報では、Apache Log4j2は、一般に公開され無償で利用できます。
世界中で広く使われているプログラミング言語であるJavaで開発されたシステムなどに組み込まれています。
このApache Log4j2のぜい弱性が悪用されると、コンピューターウイルスを送り込まれたり、外部に情報を引き出されたりするほか、最悪の場合、サーバーの管理者権限が奪われるおそれもあります。
すでに国内でもぜい弱性を悪用した攻撃が観測されている
IPAの情報によれば、すでに日本国内でも、ぜい弱性を悪用した攻撃が観測されているそうです。
Apache Log4j2の修正したバージョン
ソフトウエアを提供しているアメリカの団体は、Apache Log4j2のぜい弱性を修正したバージョンを公開しています。
IPAは、ソフトウエアを利用している事業者などに対し、システム環境を改めて見直し、最新版にアップデートするなど、早急に対策をとるようにと注意を呼びかけています。
Twitterでのログソフトへの反応
あ、log4jの脆弱性はサーバーサイドだけじゃ無くてクライアントサイドでも起こりえるのか。
例えば、典型的なローカルにソフトを入れて遊ぶタイプのネットゲームをJavaで開発したとして、ユーザー同士のチャットログをlog4jでファイル保存する仕組みにしたとする。そんなソフトだと攻撃できちゃうね。
— NiSi(@nisi_kerokero)Fri Dec 10 16:28:42 +0000 2021
@pito_kan_CA マイクラとかのJAVAを使用するソフトにだいたい入っている「Log4j」で特殊な文字列(上の画像のやつね)を含んだコードを書くと、何でも実行(サーバー、クライアント側PCのデータ消したり、破壊したり等)できるとんでもないバグが見つかった
ホワイトリストいれようとログに書き込まれただけでアウト
— かい⑨(@kai_maru9)Fri Dec 10 17:04:53 +0000 2021
@pito_kan_CA 対策はspigot、paperサーバーなら最新版に更新(うちはpaper 1.18:66)
起動batファイル(javaのすぐ後ろ)に「-Dlog4j2.formatMsgNoLookups=true」を追加
クライアント側はバニラなら再起動するとパッチ自動適用されるけど、Fabric、Forgeは更新しないとだめ。
1.17ならjvm引数に上のを追加するのもあり
— かい⑨(@kai_maru9)Fri Dec 10 17:09:20 +0000 2021
@4Non28_sh log4j2はjavaでログを取るためのAPI(外部機能みたいなもの)でjavaで作られてるソフト全てに入ってるわけではないです。ただ、便利なので多くで使われてたって感じですかね。
たぶん厳密には違ってる点はあると思いますが、大体は合ってるはずです。
— Rin(@Rin0530_mc)Sat Dec 11 04:00:08 +0000 2021
@Rin0530_mc なるほど!なんとなくわかった!ありがとう!
— 4(@4Non28_sh)Sat Dec 11 10:16:12 +0000 2021
@kuru6003 Javaって結構使われてるプログラミング言語のログを出すソフトで結構使われてるlog4jって奴に脆弱性があって、ログを出すところに特定の値を入れると悪さができる。
ログを出すとこってのがミソでユーザーが入力した結果のログ(=攻撃できる箇所)なんていくらでもあるわけで…
— (・8・)MrFRAMK(・8・)(@mrframk)Sun Dec 12 04:47:28 +0000 2021
@mrframk あ!Java関連なのか
だから真っ先にマイクラが上がってたんだ
攻撃できる箇所がいくらでもあるってことは
もしかしてSEは今すんごい大変なことになってる!?
そこかしこからSEの悲鳴が上がってる?
— kuru6003/kuruP(@kuru6003)Sun Dec 12 04:49:50 +0000 2021
"ログソフト"?
— ボクどこ(@mzthr78)Mon Dec 13 19:06:25 +0000 2021
『“ログソフト”に深刻なぜい弱性 IPA 早急な対策呼びかけ』
世界中で広く使われている、サーバーの操作記録などを残すためのソフトウエアに、深刻なぜい弱性が見つかり、悪用されると情報を引き出されたり、最悪の場合、サーバーの管理者権限を奪われたりするおそれもあるとして、
— TETSU Ⅱ(@tetsu0724d)Mon Dec 13 20:57:07 +0000 2021
一般人にも分かるように苦心した結果、「ログソフト」という言葉になったんだろうな…
— てつぼう@3.579545MHz(@radiantironbar)Mon Dec 13 22:04:48 +0000 2021
「ログソフト」ってなんやねん、と思った
— ななし(@PTYossy774)Mon Dec 13 23:08:23 +0000 2021
ログソフト
— caJP(@Gu_effect)Mon Dec 13 23:19:50 +0000 2021
大量のログ解析を人が行うのは大変だったので解析ソフトやマクロを作って自動化してましたよ。そしてまたお茶🍵🫖!
お茶はストレス解消につながるので長期戦にオススメです。
— SNS迷惑行為は即通報❗️🚓🚑🚒(@MySkyMyRoad)Mon Dec 13 23:20:05 +0000 2021
ログソフトって言い方に違和感しか無いwwwww
— オマンチングウェイ(@New_valvalzo9)Mon Dec 13 23:38:28 +0000 2021
ログソフト…と言う言葉、何かと思った log4jか。
一般化するとそんな言葉になるのか。ソフトウェアだけど、ライブラリだからどうも違和感が。
— バケ太@So,faraway(@_olue)Mon Dec 13 23:39:00 +0000 2021
ログソフト
— 修練マン😚 / モデルナ接種済💉💉(@shigero_va)Mon Dec 13 23:39:43 +0000 2021
ログソフト。新しい言い回し。
ち○、覚えた。
— 銀雨(@silverrin)Mon Dec 13 23:43:21 +0000 2021
ログソフト
— ぽこ(@a_i_u_e_o_)Mon Dec 13 23:47:51 +0000 2021
このニュースの本質は
脆弱性を“ぜい弱性”
定番ライブラリを“ログソフト”
と、それぞれ言葉を変えてしまっていること
伝わることが大事とはいえ、実はどれだけ重大な危機なのかを理解できない人にも伝えようという状況がさ
教育報道機関各位、マジでこんなニュースが流れる今に危機感持とう、うん
— ラムジー婆さん(@jepteet)Mon Dec 13 23:50:08 +0000 2021
ログソフト…ログソフトって…けど専門用語使わないとそうなる…?
— Aera(@Aera0610)Mon Dec 13 23:50:35 +0000 2021
ログソフトっていう用語に違和感ある
数億年ぶりにIPA見に行った
ちゃんと「ロギングライブラリ」って書いてあった
なんかスッキリした
ロギングってのを使って欲しいなという感想
どう違うの?って言われたらメンドクセーな!なんだけども
— きゅび🧘 (AXYZ)(@tareho9b)Mon Dec 13 23:51:34 +0000 2021
log4j、大層な名だね
今日からお前はログソフトだよ!
— MCT_(ヘーベル)(@MC_tunes)Mon Dec 13 23:52:10 +0000 2021
ログソフトって何だよ!!
— MCT_(ヘーベル)(@MC_tunes)Mon Dec 13 23:52:25 +0000 2021