Log4jはグローバルで何百万のコンピューターアプリケーションに使用されているプログラムライブラリ(既存のコード)です。このコードは2001年よりオープンソースで無償で提供され、幅広く使用されています。

Log4jは、アプリケーションがログ情報をファイルやデータベースに書き込む機能です。

2021年12月9日、Log4jライブラリにより、機密情報にアクセスまたはコンピューターを遠隔操作出来ることが発見されました。

ハッカーはLog4jを悪用し、大企業や政府のシステムに侵入し始めています。世界的な影響範囲は計り知れません。

この脆弱性が晒されたシステムは、リモートの攻撃者によって簡単に悪用される可能性があります。攻撃は簡単に実行でき、世界中で最大30億のシステムが攻撃の可能性に晒されています。Log4jへのパッチがリリースされましたが、ほとんどの企業はコード内でLog4jの全てのインスタンスを把握することが出来ません。全てのシステムでパッチ適用を完了するには、工数と長い時間がかかります。今回の問題は、2017年にEquifaxに対して4億2500万ドル以上の罰金が科せられた情報漏洩問題よりも影響が大きいと言われています。

2022年2月16日（水）12:15〜12:45 

本ウェビナーでは、Contrast Securityのセキュリティソリューションが如何に今回のLog4jに対する攻撃を当初より防ぐことが出来たのか、また今後生じ得る新たな脆弱性や攻撃に対して、どのような対策を講じるべきなのかを紐解きます。

プレスリリース：2021年12月21日

Contrastのアプリケーションセキュリティプラットフォームは、パッチを適用しなくとも
グローバル企業のLog4jを使用するアプリケーションを保護すると同時に、今後生じ得る攻撃からも防御可能。

Apache Software Foundationは、CVE-2021-45105 に対応するための新たなlog4jのアップデート (version 2.17.0) の提供を開始しました。Contrastは、この安全な最新バージョンを使用することを推奨します。

Apache Software Foundationは、バージョン 2.15.0以下のパッチではLog4Shellの修正に不十分であるとの情報を更新しました。新たにバージョン2.16.0へアップデートすることにより、これらの問題が解消されます。

Log4jが潜む脆弱なアプリケーションを検出及び検証し、保護することが出来る無償のオープンソース汎用ツール「SafeLog4j」をリリースしました。

我々は、Contrast Assess(IAST)、Contrast SCA、Contrast Protect(RASP)を使用し、何千ものアプリケーションを監視しているため、他社とは異なるデータを持っており、Log4Shellに関して興味深い数値が見られました。

Log4Shell に対してRASP(Runtime Application Self-Protection)の優れた有効性が証明されています。ContrastのRASP製品であるContrast Protectを利用されているお客様は、今回の様な脆弱性やリモートコードの実行（RCE）が発見される何年も前から、安全性を確保しています。