インシデント対応時間は短縮も……　Log4jの教訓を生かしきれていない企業たち

2023/09/02 13 users 教訓 短縮 脆弱性 サイバー攻撃 組織

サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。 組織のサイバーレジリエンス能力を継続的に評価し、改善を支援するImmersive Labsが2023年8月2日（現地時間）に発表した調査によると（注1）、サイバー攻撃への対応時間の平均は、2021年から2022... 続きを読む

SpringのRCE脆弱性(CVE-2022-22965)について

2022/04/11 5 users spring RCE脆弱性 RCE リモート Java

はじめに Log4jやStruts2など、Java製ソフトウェアにおいてリモートからの任意のコード実行(RCE)の脆弱性が目立つ時代になってしまっていますが、これにさらにSpringも加わってきました。この記事では特にCVE-2022-22965に焦点を当て、技術的な視点からの解説を行ってみます。 なぜJavaアプリでRCEとなるのか? Javaの(特... 続きを読む

元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」　Javaの歴史とバザールの矛盾

2022/01/31 19 users バザール 歯車 かけら Java 矛盾

元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」　Javaの歴史とバザールの矛盾（1/6 ページ） Log4j 2で問題となった脆弱性は、プログラミングやコンピュータの知識が少しあれば「なぜこんな危険な実装がされていたのか」と疑問に思う内容だ。歴史の歯車が別の方向に噛み合っていれば、こうはならなかっ... 続きを読む

「無料でLog4j対策を教えろ」と迫った大企業とオープンソース開発者の痛快なやりとりが公開中

2022/01/25 188 users やりとり オープンソース開発者 オープ ゼロデイ脆弱 大企業

2021年12月に、さまざまなプログラムに使われているJavaのログ出力ライブラリ「Log4j」にリモートコード実行のゼロデイ脆弱(ぜいじゃく)性「Log4Shell」があることが発覚し、世界中のIT産業が対応に追われました。そんな問題に対し、フォーチュン500に選出されるような大企業から対応方法を教えるよう要請を受けたオープ... 続きを読む

米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催

2022/01/14 24 users OpenSSF 契機 米バイデン政権 民間部門 米連邦政府

米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催 米連邦政府は、昨年末に問題になった「Log4j」を契機に民間IT大手やオープンソース団体を招いたサイバーセキュリティ会議を開催した。Googleは会議後、オープンソースの資金調達と管理には政府と民間部門の協力が必要だと語っ... 続きを読む

全世界を揺るがした「Log4j」のようなオープンソースソフトウェアを無償でメンテし続けるという難題を解決すべくGoogleが立ちあがる

2022/01/14 11 users 難題 goo 無償 オープンソースソフトウエア 保守

オープンソースソフトウェアはソースコードを無償で一般公開しているため、ソフトウェアを販売して売上を確保することが難しく、開発者が「どこから収益を確保するか」は非常に重要な問題となります。そんなオープンソースソフトウェアの開発や保守(メンテナンス)に携わるエンジニアをサポートするための取り組みを、Goo... 続きを読む

米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告 | TechCrunch Japan

2022/01/06 17 users 米FTC 警告 措置 TechCrunch JAPAN ＦＴＣ

Javaで書かれた広く使われているログ記録ライブラリApache Log4jには、Log4Shellと通称されるゼロデイ脆弱性がある。連邦取引委員会（FTC）はこのほど、Log4Shellに対して顧客データのセキュリティを確保していない米国企業に対しては法的措置をとると警告した。 2021年12月に初めて発見されたこの「深刻な」脆弱性は、... 続きを読む

「Log4j」2.17.0にもリモートコード実行の脆弱性　修正バージョン公開

2021/12/29 23 users リモートコード実行 リモートコード ASF 脆弱性 実行

ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation（ASF）は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。 任意のリモートコードが実行可能になってしまうゼロデイ脆弱性が問題になったJava向けロギン... 続きを読む

アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に

2021/12/23 151 users 行政機関 Apache Log4j ６カ月間 提携関係 中国

中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。 Java向けログ出力ライブラリ「Apache Log4j」（Log4j）で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド（阿里雲）... 続きを読む

「Apache Log4j」に3つ目の脆弱性 ～修正版のv2.17.0が公開／「Log4j 2.15.0」のLog4Shell対策に漏れ、DoS攻撃を受ける可能性

2021/12/20 9 users DoS攻撃 脆弱性 Apache Log4j 修正版 可能性

続きを読む

AWSから Log4j脆弱性攻撃の被害が疑われるEC2について通知を受けました | DevelopersIO

2021/12/18 17 users すずき 標的 DevelopersIO アクティビティ 攻撃

EC2上で実施していたLog4jの脆弱性攻撃に利用されているLDAPサーバの名前解決が、AWSに不審なアクティビティとして補足され、注意喚起のメールが届きました。 AWSチームのすずきです。 log4jの脆弱性を標的とした攻撃による被害が疑われたEC2インスタンスについて、 AWSからのメールでの案内を受ける機会がありましたの... 続きを読む

「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた

2021/12/16 5 users ヤバ 非エンジニア 副編集長 トラブル ヤマー

「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた：ヤマーとマツの、ねえこれ知ってる？（2/3 ページ） 「Log4j」の脆弱性が深刻すぎる2つのポイント ヤマー　それで、Log4jの脆弱性ですが騒動が大きくなったポイントはどこなんでしょうか？ キーチ　プログラミングや開発に親... 続きを読む

中国・イラン・北朝鮮・トルコの支援を受けたハッキン​​ググループがLog4jのゼロデイ脆弱性「Log4Shell」を悪用しているとMicrosoftが発表

2021/12/16 7 users リモートコード実行 Java 同日 パッキン アメリカ

2021年12月14日、MicrosoftがJavaのLog4jライブラリに存在していたリモートコード実行を可能にするゼロデイ脆弱性「Log4Shell」が中国・イラン・北朝鮮・トルコに関連する政府系ハッキンググループによって用いられることを確認したと発表しました。さらに同日にはアメリカのサイバーセキュリティ・インフラストラクチャ... 続きを読む

「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた

2021/12/16 146 users ヤバ 非エンジニア 副編集長 トラブル ヤマー

「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた：ヤマーとマツの、ねえこれ知ってる？（1/3 ページ） 経歴だけは長いベテラン記者・編集者の松尾（マツ）と、テック系編集部を渡り歩いてきた山川（ヤマー）が、ネット／テクノロジー用語で知らないことをお互い聞きあったり... 続きを読む

Log4jで話題になったWAFの回避/難読化とは何か

2021/12/16 282 users WAF Twitter CVE-2021-44228 超弩級

はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ！... 続きを読む

「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認

2021/12/15 8 users 悪用 Microsoft 脆弱性 Apac 中国

Microsoftは、「Apache Log4j」の脆弱性が、中国、イラン、北朝鮮、トルコを起源とする複数の集団によって悪用されていることを確認した。また、複数のアクセスブローカーが企業からの情報窃盗にこの脆弱性を利用していることも確認したとしている。 米Microsoftは12月14日（現地時間）、世界的に問題になっている「Apac... 続きを読む

JavaのLog4jライブラリで「Log4Shell」に加えて新たな脆弱性「CVE-2021-45046」が発覚、アップデートで対応可能

2021/12/16 12 users Java CVE-2021-45046 Log4Shell

Javaのログ出力ライブラリであるLog4jで、任意のコードをリモート実行される深刻な脆弱(ぜいじゃく)性・CVE-2021-44228、通称「Log4Shell」が発見されました。Log4jを提供するApacheソフトウェア財団(ASF)は、さらに新たな脆弱性・CVE-2021-45046が発覚したと報告しており、Log4jをバージョン2.16.0以降にアップデートす... 続きを読む

米連邦政府のCISA、「Log4j」対策をクリスマスイブまでに完了するよう政府機関に指示

2021/12/15 6 users ＣＩＳＡ DHS クリスマスイブ 傘下 米連邦政府

米連邦政府のサイバーセキュリティ諮問機関CISAが、連邦政府機関に対し、「Log4j」の脆弱性対策を12月24日のクリスマスイブまでに完了するよう指示した。CISAはこの脆弱性に関する専用Webページも立ち上げた。 米国土安全保障省（DHS）傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチ... 続きを読む

「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開

2021/12/15 19 users 警察庁 脆弱性 グラフ センサー 攻撃数

世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設で観測した攻撃数の平均グラフを公開した。 世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設のセンサーで観測した攻撃数のグラフを公開した。 警察施設のインターネット接続... 続きを読む

Log4j 脆弱性を緩和するAWS WAFの「Log4JRCE」DevelopersIOサイトの3日間の検出結果を紹介します | DevelopersIO

2021/12/14 61 users DevelopersIO Log4JRCE AWS WAF

IPアドレスは、ELB (国内向)、Global Accelerator(海外向) のIPアドレスで利用中のものでした。 $ host 75.2.71.201 201.71.2.75.in-addr.arpa domain name pointer a5b041b48e73d3807.awsglobalaccelerator.com. $ host 52.194.15.214 214.15.194.52.in-addr.arpa domain name pointer ec2-52-194-15-214.ap-northeast-... 続きを読む

Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、暗号資産マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題

2021/12/13 8 users 標的 ゼロデイ脆弱性 Log4Shell 続発中 サーバー

さまざまなプログラムに使われているJavaのログ出力ライブラリ「Log4j」にリモートコード実行のゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」が2021年12月10日に発覚し、大きな混乱を呼んでいます。Log4jをリリースするApacheは脆弱性を解決したバージョン2.15.0をリリースしていますが、すでにLog4Shellを... 続きを読む

「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？　日本ハッカー協会に聞いた

2021/12/13 23 users 脆弱性 攻撃手段 日本ハッカー協会 情報共有 リモートコード

ログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行できる脆弱性があることが明らかになった問題で、その攻撃手段をネット上で共有する行為は、不正指令電磁的記録に関する罪に問われるのではないかと、エンジニアを中心に議論が起きている。 文字列を記録させるだけで任意のリモートコードを実行できる... 続きを読む

世界のWebサーバの3分の1に影響？　Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

2021/12/13 16 users Javaライブラリ Webサーバ JPCERT 脆弱性 解説

プログラミング言語Java向けログ出力ライブラリ「Apache Log4j」（Log4j）で12月10日に判明した脆弱性について、JPCERT/CCが11日に攻撃の仕組みと対策方法を公開し、注意を促した。Log4jの機能「JNDI Lookup」が悪用されると、Log4jを含むアプリケーションなどを遠隔地から自由に操作される可能性がある。 Log4jは、エラ... 続きを読む

Update for Apache Log4j2 Security Bulletin (CVE-2021-44228)

2021/12/12 5 users CVE-2021-44228 Utility

Initial Publication Date: 2021/12/11 7:30 PM PDT AWS is aware of the recently disclosed security issue relating to the open-source Apache “Log4j2" utility (CVE-2021-44228). We are actively monitoring this issue, and are working on addressing it for any AWS services which either use Log4j2 or prov... 続きを読む

広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

2021/12/12 23 users Javaライブラリ 脆弱性 リモートコード 対策 確認

オープンソースのロギングライブラリとしてさまざまなJavaアプリケーションに使われている「Apache Log4j」に、任意のリモートコードが実行できてしまう脆弱性が発見されました。 これが悪用されると、第三者が勝手にサーバを操作して悪意のあるソフトウェアを組み込んだり、悪意のある攻撃を行う際の踏み台にされるなど... 続きを読む