Log4jの脆弱性について

コーディング

Log4jの脆弱性が世間を騒がせており、当社にも様々なお問合せをいただいておりますので、こちらにて説明致します。  

Apache Log4jとは

Apache Log4jは、オープンソースのjavaプログラム用のログ出力ユーリティです。Javaアプリケーションの標準的なログ出力ユーリティとして利用されており、設定ファイルでの設定でデバッグ情報やエラー情報などをプログラム内からコンソール、ファイル、その他ログサーバ等に出力する為に世界中で利用されています。    

Log4jの脆弱性の影響

Log4jが特定の文字列をログに出力する際に、リモートに配置された任意のコードを実行してしまいます。悪用は極めて簡単で、人気のあるゲームソフト「Minecraft」にも影響が出ているとのことで、サーバーを一時閉鎖したり、一斉アップデートする騒ぎにまで発展しています。    

影響の受けるウェブサイト

Java言語を利用しているサイト

java言語を利用したAndroidアプリ、サーバーアプリケーション、CMS等が影響を受けます。 当社のお客様ではその多くは、Java言語は利用していませんので、注意する必要はありません。 過去に開発しJava言語を利用したサイトや、直接弊社が開発したものでは無く、開発したWebサイトに付随したアプリや、AWS等クラウドサービスを利用しているなど影響を少なからず受けるお客様は既に、当社から注意喚起済です。    

JavaScriptはJavaとは関係ありません

よく間違われる事ですが、Webサイトで多用しているJavaScriptとJAVA言語は名前が良く似ている為、関連性がある様に見えますが全く異なる言語です。 javaは環境に依存せずに動作する為、使用環境に依存しないアプリケーション開発で多用されています。対して、JavaScriptはWebページに動的な挙動を与えるために使用する言語です。 開発した会社も異なりJavaはサン・マイクロシステムズ(現在はオラクル)が開発した言語で、javascriptはネットスケープコミュニケーションズ(AOLが買収)が開発した言語です。