Apache Log4jの脆弱性(Log4Shell)のWebサイトへの影響と確認方法

こんにちは。「SiteCloud」コンサルティングチームの金子です。

2021年12月11日にApache Log4jに関する緊急度の高い脆弱性が公開されました。通称「Log4Shell」と名称がついた脆弱性です。サーバー上で任意のコードが実行できるため、至急バージョンアップ等の対応することが推奨されています。本記事では、Log4jの概要と対策が必要となるバージョン、Webサイトへの影響を説明していきます。

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起(JPCERT)

脆弱性の対象となるLog4jのバージョン

Apache Log4jは、主にJavaで開発されたシステムのログを出力するライブラリーとして利用されています。今回の脆弱性の対象となるApache Log4jのバージョンは以下となります。

  • Apache Log4j-core 2.15.0より前の2系のバージョン

なお、既にサポートが切れているApache Log4j 1系のバージョンではこの脆弱性の影響を受けません。

Webサイトへの影響について

Javaで開発したシステムが多く影響を受けることは明白です。一方で、WordPressやMovableTypeなどCMSで構築されたWebサイトへの影響はどうなっているでしょうか。いくつかCMSとその影響をご案内させていただきます。

WordPressへの影響

WordPressはPHPで開発されており、Javaは用いていないため影響を受けません。

MovableTypeへの影響

MovableTypeはPerlやPHPで開発されており、Javaは用いていないため影響を受けません。

WebRelease2への影響

有償CMSのWebRelease2はJavaを用いていますが、Log4jを使用しておらず影響を受けません。WebRelease2開発元からの公式アナウンスも発表されています。

フレームワークスソフトウェア公式サイトアナウンス

PowerCMSへの影響

有償CMSのPowerCMSはPerlやPHPで開発されており、Javaは用いていないため影響を受けません。

脆弱性有無の確認方法

詳細な手順は環境により異なりますためエンジニアへの確認を推奨します。確認方針としては、サーバーにログインしてJavaのプロセスが稼働しているかを確認します。Javaのプロセスが動いている場合には、ログを保存するためにLog4jを利用している可能性があります。そして、サーバー内にLog4jのライブラリが有無を検索して確認します。もし見つかった場合は、バージョンの確認とシステムが利用しているかを確認していきます。

さいごに

基本的にはJavaで開発したシステムでなければLog4jを利用していることはほとんどありません。しかし、サーバー内にサブシステムが含まれている場合は、確認をしておくことをおすすめします。また、セキュリティソフト等のパッケージソフトを導入している際は、その対応可否の確認も重要です。

脆弱性の対応可否の判断がつかない場合は、無料でサーバーの診断を行っておりますのでご相談くださいませ。

クラウドサーバー・セキュリティの事なら、私達にご相談ください。

Webサイトに必要なクラウド・CMS・セキュリティプラットフォーム「SiteCloud」を提供しています。豊富な知見を活かし安全なWebサイトの環境・管理・運営をご提案します。お気軽にご相談ください。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

SiteCloudのサービス内容を記載した資料をダウンロードできます。
SiteCloudの機能や事例が分かる
無料資料ダウンロード
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close