日々ブログ

日々のくらしの中で思ったこと

log4j の近況と対策内容まとめてたら自分のPCにも入っていることに気づいた話(CVE-2021-44228)

log4j がめちゃくちゃ話題になってますね。 自分がいる会社でも、製品に使われていないかなどの対応に追われているところもあり、なかなか安心できない状況となります。 毎年クリスマス前は、ハッキングとかセキュリティの話題が出ているような。 インフラチームはクリスマス嫌っている人多そう。 f:id:xinformation:20211215222341p:plain

警察庁がlo4jの攻撃情報を公開

警察庁log4jの攻撃状況を公開しました。 普段の攻撃ならここまでのことはしないのですが、内容の深刻さから公開しているようです。 早いこと対応したいですね~。

f:id:xinformation:20211215222105p:plain

悪用されるとどうなるか

悪用されると任意のコードを実行できます。 つまり、そのパソコンやらデバイスやらを乗っ取ることができるわけです。 インターネットにつながっていなければ、被害は少ない気もしますが、逆に脆弱性にも対応できなくて困るんですけどね。

どうなったらかかるのか

log4jを組み込んだソフトを使用していると被害に会う可能性があります。 広く普及しているものだとやはり「マインクラフト」でしょうかね。 他には、docker desktopをインストールしている人はさっさと対応するのが吉です。 パソコン好きの人の方がこのライブラリをインストールしている可能性は高そうですね。

windows もすぐに対処

windows もひとまず対処ですかね。 ファイル検索ソフトとかを使ってもいいでしょうが、自力で検索する場合はcmdを立ち上げて、下記コマンドで該当のファイルがあるか調べます。

where /r log4j*
自分のpcにもlog4j

他人事だと思って、呑気に対策内容まとめていたところ、自分のpcにもありました! 自分の自宅PCはwindows使っているのですが、apache-jmeterに思いっきり入ってましたね。 webサーバーとかは立ち上げて無いので、無害なのですが、おとなしくアンインストールしました。 ブログの記事書いているとこうした良いこともあるんですね。 f:id:xinformation:20211215223702p:plain

linux はすぐに対処を

ひとまず、log4jがマシン内に存在するかを検索しましょう。 log4jを名前に含むファイルが無いか検索すれば確認可能です。

sudo find . -name "lig4j*"
androidはあまり気にしなくて良い

log4j脆弱性ですが、androidの場合はあまり気にしなくて良さそうです。 log4jを採用しているandroidアプリはそうそう無いからです。 log4jの代替となるライブラリの方が人気だったり、そもそもカスタマイズでもしなければlog4jandroidでは動かないようです。

うちで使っている製品もやばいの?

log4jに関する対応状況は、製品を販売している会社が対応方法を出しているのでホームページを参照するのが良いでしょう。 あとは、問い合わせるかですが、太客で直接担当がついて無いと回答に数日かかったりテンプレートが返ってくるだけのことが多いように思います。 使用しているソフトが多すぎてわからない場合は、ファイル名検索で調べるのが良さそうです。

docker desktopの場合

こちらは利用者が多くかつ被害も大きいので、即座に対応方法を出していますね。 さすがです。

microsoft の場合

同じく、対応方法について掲載していますね。 セキュリティアップデートで対応するようです。

msrc-blog.microsoft.com

被害にあったんだけど

製品なら素直にメーカーにクレームをつけましょう。 「log4jはうちの会社で開発したものではないので知りません」とか言い始めたら、 それを採用した責任はそちらにあると主張してごねましょう。 泣き寝入りはよくありません。 ちなみに、すでに同じような事例が裁判で争われたことがあったので、詳しくはそちらを!。

https://www.softic.or.jp/semi/2014/5_141113/rep2.pdf

OSSとかフリーウェアなら基本は泣き寝入りか自力対処ですかね。

素敵な悪用も

PC乗っ取ることができるので、修正を代わりにやってあげようという親切な人たちもいます。 企業によっては、対応手段が決まっておらず、現場指揮が取れていないところもありますからね。そうした、行動の遅い団体に代わって、修正してあげようというわけですね。

log4jsは関係ない

log4j脆弱性は報告されていますが、log4jsについては今の所報告はありません。 名前は似ていますが、これら2つは全く違うものです。 githubにも皮肉を込めて書かれています。 じゃあ、なんで名前似せたんや!とツッコミたくなりますが。