IPAが「Apache Log4j脆弱性」の暫定回避方法を紹介：最新バージョンへのアップデートを推奨

IPAは「Apache Log4j」の脆弱性（CVE-2021-44228）に関する対策を講じるように注意を促している。2.15.0より前の2系のバージョンが影響を受ける。

[＠IT]

記事の訂正について（2021/12/23 10:39）

対象のバージョンと回避法に関してIPAの情報が更新されたため、本文を一部修正しました。

　情報処理推進機構（IPA）は2021年12月13日、「Apache Log4j」で任意のコードが実行される脆弱（ぜいじゃく）性（CVE-2021-44228）に関する対策を講じるよう、注意を促した。IPAによると「この脆弱性を悪用したと思われる攻撃が既に観測されており、早急な対策が必要だ」という。

IPAのWebページから引用

　Apache Log4jは、The Apache Software Foundationが提供するJava用のロギングライブラリ。見つかった脆弱性は「第三者が細工したデータ（文字列）をApache Log4jに記録させると任意のコードが実行できる」というもの。Apache Log4jの「Lookup」機能（ログにある特定の文字列を置換する機能）を悪用している。

各バージョンによって異なる暫定回避方法

　The Apache Software Foundationは、この脆弱性に対応したバージョン「Apache Log4j 2.15.0」を既に提供している。IPAは最新バージョンへのアップデートを勧めているが、暫定的な回避策も公開している。

　「JndiLookupクラス」をクラスパスから削除することで脆弱性を回避できる。

　「Apache Log4j 2.10」より前のバージョンは「JndiLookupクラス」をクラスパスから削除する。「Apache Log4j 2.10」とそれ以降のバージョンは、環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定し、Apache Log4jを実行するJava仮想マシンを起動するときにJVMフラグオプション「log4j2.formatMsgNoLookups」を指定することで脆弱性を回避できる。