Webセキュリティ専門企業である株式会社セキュアスカイ・テクノロジー(東京都千代田区 代表取締役 大木 元 以下、SST)は、Apache Log4j の任意のコード実行の脆弱性[CVE-2021-44228](以下、本脆弱性)の危険性および緊急性を踏まえ、被害を受ける可能性を感じ、情報収集や対策を迅速に行う必要に迫られている情報システム部門・IT管理者と、ITに関わるすべての方に向けて、本脆弱性の注意喚起と影響緩和を目的とした『Apache Log4j 脆弱性の影響緩和のために今できること』(提供形式:PDF/Webページ 以下、本資料)を2021年12月14日に緊急公開いたしました。
本活動を通じて、SSTのミッションである「インターネットを安全にしたい」という想いの実現を目指して、多くの企業の安全なWebサイト運営に貢献してまいります。
● 『Apache Log4j 脆弱性の影響緩和のために今できること』(PDF/Webページ)
https://www.securesky-tech.com/topics/20211214.html
【アジェンダ】
・今、何が起きているのか
・「Apache Log4j」の脆弱性による影響の大きさ
・影響を受ける範囲は?
・被害を受けたらどうなるの?
・情シス・IT管理者が今できること(その1~その3)
・ITに関わるすべての方(個人)が今できること
・大事なお願い
● 緊急公開の背景
2021年12月11日にJPCERT/CC(*1)より、2021年12月13日にIPA(*2)よりJavaで広く一般的に利用されているログ記録用のライブラリ「Apache Log4j」にある深刻度の非常に高い脆弱性に対する注意喚起が発表されました。その汎用性、攻撃の容易さ、影響範囲の広さにおいて、危険度が非常に高く、直接的にApache Log4jを利用している企業・サービスだけでなく、間接的に関わりのある企業・サービスにも影響を及ぼす可能性があります。
本脆弱性の影響を受ける対象の判断が難しく、情報収集や緊急対応に迫られている情報システム部門・IT管理者と、ITに関わるすべての方向けに、本脆弱性の脅威と「今できること」を広く伝えることが影響緩和につながると考え、本資料の作成・公開に至りました。
(*1) 【2021/12/11、13 JPCERT/CC】Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
(*2) 【2021/12/13 IPA】Apache Log4j の脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
● SSTからのお願い
本脆弱性は緊急度および危険度が非常に高いため、情報システム部門の担当者やIT管理者だけにとどまらず、企業経営者やITに関わるすべての方に向けて本資料を公開しております。本脆弱性による被害拡大防止と影響緩和の一助となりますようご活用ください。あわせて、本資料を必要とするより多くの方へお伝えいただけると幸いです。
本資料は、現時点で考えられる対応について、まとめたものであり、「これだけやれば大丈夫」ということではなく、「今できること」をお伝えするものです。現在進行形で状況が変化しているため、各ベンダーやセキュリティ機関など信頼できる情報源の最新情報を随時確認してください。
また、引き続き、利用しているシステム・サービス・ソフトウェアの提供元が発信する本脆弱性の影響に関する情報収集と必要な対策の実施に努めていただけますようお願いいたします。
【株式会社セキュアスカイ・テクノロジー 会社概要】
社名 :株式会社セキュアスカイ・テクノロジー
本社所在地 :東京都千代田区神田司町2-8-1 PMO神田司町2F
設立 :2006年3月
代表者 :代表取締役 大木 元
事業内容 :Webアプリケーションの脆弱性診断
クラウド型WAFサービス、セキュリティ教育・支援サービス、コンサルティング
URL :https://www.securesky-tech.com/
本活動を通じて、SSTのミッションである「インターネットを安全にしたい」という想いの実現を目指して、多くの企業の安全なWebサイト運営に貢献してまいります。
● 『Apache Log4j 脆弱性の影響緩和のために今できること』(PDF/Webページ)
https://www.securesky-tech.com/topics/20211214.html
【アジェンダ】
・今、何が起きているのか
・「Apache Log4j」の脆弱性による影響の大きさ
・影響を受ける範囲は?
・被害を受けたらどうなるの?
・情シス・IT管理者が今できること(その1~その3)
・ITに関わるすべての方(個人)が今できること
・大事なお願い
● 緊急公開の背景
2021年12月11日にJPCERT/CC(*1)より、2021年12月13日にIPA(*2)よりJavaで広く一般的に利用されているログ記録用のライブラリ「Apache Log4j」にある深刻度の非常に高い脆弱性に対する注意喚起が発表されました。その汎用性、攻撃の容易さ、影響範囲の広さにおいて、危険度が非常に高く、直接的にApache Log4jを利用している企業・サービスだけでなく、間接的に関わりのある企業・サービスにも影響を及ぼす可能性があります。
本脆弱性の影響を受ける対象の判断が難しく、情報収集や緊急対応に迫られている情報システム部門・IT管理者と、ITに関わるすべての方向けに、本脆弱性の脅威と「今できること」を広く伝えることが影響緩和につながると考え、本資料の作成・公開に至りました。
(*1) 【2021/12/11、13 JPCERT/CC】Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
(*2) 【2021/12/13 IPA】Apache Log4j の脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
● SSTからのお願い
本脆弱性は緊急度および危険度が非常に高いため、情報システム部門の担当者やIT管理者だけにとどまらず、企業経営者やITに関わるすべての方に向けて本資料を公開しております。本脆弱性による被害拡大防止と影響緩和の一助となりますようご活用ください。あわせて、本資料を必要とするより多くの方へお伝えいただけると幸いです。
本資料は、現時点で考えられる対応について、まとめたものであり、「これだけやれば大丈夫」ということではなく、「今できること」をお伝えするものです。現在進行形で状況が変化しているため、各ベンダーやセキュリティ機関など信頼できる情報源の最新情報を随時確認してください。
また、引き続き、利用しているシステム・サービス・ソフトウェアの提供元が発信する本脆弱性の影響に関する情報収集と必要な対策の実施に努めていただけますようお願いいたします。
【株式会社セキュアスカイ・テクノロジー 会社概要】
社名 :株式会社セキュアスカイ・テクノロジー
本社所在地 :東京都千代田区神田司町2-8-1 PMO神田司町2F
設立 :2006年3月
代表者 :代表取締役 大木 元
事業内容 :Webアプリケーションの脆弱性診断
クラウド型WAFサービス、セキュリティ教育・支援サービス、コンサルティング
URL :https://www.securesky-tech.com/