検索
連載

Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」?こうしす! こちら京姫鉄道 広報部システム課 @IT支線(31)

情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第31列車は、「Log4j 2の脆弱性」です。※このマンガはフィクションです。

Share
Tweet
LINE
Hatena

こうしす!」とは

ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。

その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。

こうしす!@IT支線」とは

「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。


今回の登場人物

akane

祝園アカネ(HOSONO Akane)

広報部システム課 係員。情報処理安全確保支援士。計画的怠惰主義者で、有休取得率は100%。しかし、困っている人を放っておけない性格が災いし、いつもシステムトラブルに巻き込まれる

nakafunyu

中舟生CIO(NAKAFUNYU Yoshifumi)

広報部長兼取締役CIO(最高情報責任者)。偶然にも山家の上司だったことから、実力はないのに業績を評価され役員となってしまった残念なお方。実権はほとんどないに等しい


yumesaki

夢前 さくら(YUMESAKI Sakura)

京鉄ITソリューションズ 運用部 基盤整備管理課 係長。元は開発部門の課長代理だったが、親会社の無計画なシステム開発案件により体調を崩し休職、復職後は降格となった。それ以降、無理なことは何があっても断っている



第31列車:CVSS10.0の夜に


















井二かけるの追い解説

 マンガのテーマは、Log4j 2の任意コード実行の脆弱(ぜいじゃく)性(CVE-2021-44228)です。

 Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった(「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か:ITmedia NEWS)。


 日本国内では2021年12月10日(金)からTwitterなどで話題になり始め、JPCERT/CCが土曜日に注意喚起を行うなど、土日を挟むタイミングで対応に追われることとなりました。まだ対処していない方は、即時対応しましょう。対策方法は以下のページの最新情報を参照してください。

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起(JPCERT/CC)

Apache Log4j Security Vulnerabilities(The Apache Software Foundation.)


ログ機能とLog4j

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る