警察庁は12月14日、「Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について」とする注意喚起を「@police」において公開した。同庁のインターネット定点観測システムでは、2021年12月10日以降、当該脆弱性を標的とした攻撃を観測している。
The Apache Software Foundationが提供するJavaでログ出力に使われるライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)に関する情報が公表されている。
影響を受けるシステムはApache Log4j-core 2.15.0より前の2系のバージョンで、警察庁では、下記の対策を実施するよう呼びかけている。
・Javaで開発されているプログラムを利用している場合は、Apache Log4jの利用の有無の確認及び各プログラムの公式Webサイトのアップデート情報の確認
・脆弱性の影響を受けるバージョンを利用している場合は、公開している情報を確認し、速やかな対策の適用
・Webアプリケーションファイアウォール等のシグネチャによる検知や防御の回避を試みているパケットを観測しており、シグネチャ検知による回避策以外の対策の適用