トレンドマイクロ、「Log4j」の脆弱性について解説 | ScanNetSecurity
2025.10.25(土)

トレンドマイクロ、「Log4j」の脆弱性について解説

 トレンドマイクロ株式会社は12月23日、「Log4Shell」に続いて確認された「Log4j」の脆弱性についての解説を同社ブログに発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 トレンドマイクロ株式会社は12月23日、「Log4Shell」に続いて確認された「Log4j」の脆弱性についての解説を同社ブログに発表した。

 Apache Log4jで確認されたサービス拒否(DoS)攻撃に関連する脆弱性(CVE-2021-45105)は、「Log4Shell」(CVE-2021-44228)の直接的な亜種ではないが、同種の攻撃経路で攻撃者が制御するログ情報のLookup機能を悪用する点で類似している。

 Apache Log4jのAPIは、Lookupにおける変数の置換をサポートしており、細工された変数を用いることで制御不能な再帰的な置換により、アプリケーションをクラッシュさせることが可能となり、Lookupのコマンドを制御できる攻撃者が不正なLookup変数を細工し、DoS攻撃を引き起こすことができる。

 ブログでは「Log4j」の脆弱性について、コードの流れを示し解説、12月18日にApacheからリリースされた修正パッチの解析や脆弱性利用の実証も行っている。

 ブログでは最後に、「Log4j」の脆弱性の利用に関連する手法は現在大きく注目を集めており、修正パッチの有無にかかわらず、さらなる脆弱性が発見される可能性もあると注意を呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

ランキングをもっと見る
PageTop