はじめに

先週末、Twitterにて突然Log4Jというニッチなワードがトレンド入り。
これはJavaアプリを扱ったことがある方には馴染みのあるライブラリでログ出力を細やかにコントロールできるもの。でも何故こんな用語が・・？

で、調べているとこのツールに脆弱性が発見されたとのこと。しかも「悪意の任意のコードをサーバ上で動かせてしまう」という衝撃的な内容でした。

漫画/メモ

Javaのアプリの中でユーザが打ち込んだ文字列がそのままログとして出力される部分がある場合、そこに特定の文字列を入れると外部にあるclassファイルを読み込んでサーバで実行してしまう・・という話。

きちんと通信管理されているシステムの場合、外部のクラスを読みに行く部分でブロックされるのでは？と思いつつもそういう動きを引き起こすこと自体は簡単にできるだけでも結構やばい・・という印象をうけます。

というわけでシステム管理者には「うちlog4j使ってるの？であればバージョンは？」と質問攻めされているでしょうね...。

終わりに

この手の脆弱性の話は「そらそういうケースだとヤバいかもしれないけど・・」と実行するにあたって壁がいくつもあるケースが多いですが、今回は発動条件が「ユーザが打ち込んだ文字列をログ出力する動きをシステム内で持っている」「それをLog4Jで実装している」というありがちなものでした。

そういう意味ではこの一週間はIT業界、この話題でもちきりでしょうね。本番システムの基盤担当者の方、パッチを当てるなり無影響であることを説明するなり、大変ですが皆で乗り切りましょう・・。