Apache log4jの脆弱性について

Log4jの脆弱性（CVE-2021-44228）に関するVizrt Productのセキュリティステートメント

Vizrt製品のセキュリティに関する注意事項

Publication Date

2021-12-14

Last update

2021-12-15

Current version

V1.1

2021年12月09日、Apache Log4j（多くのJavaベースのアプリケーションで使用されているロギングツール）の脆弱性が公開され、リモートの未認証の攻撃者が脆弱なシステム上でコードを実行できるようになる可能性があります。この脆弱性は、CVE-2021-44228として追跡されており、「Log4Shell」としても知られています。また、NISTは、重要なCommon Vulnerabilities and Exposureアラート「CVE-2021-44228」を発表しています。

Vizrt Groupでは、製品のセキュリティを最優先しています。オープンソースのApache “Log4j”(CVE-2021-44228)の重大な脆弱性に対処したように、Vizrtグループは、製品のセキュリティを最優先しています。Vizrt Product Securityは、製品開発エンジニアリングチームと共に、弊社の環境に「侵害の指標」がないか、Vizrt製品にlog4j 2の脆弱性の痕跡がないか調査を完了し、どの製品が影響を受けているのかを判断しています。リスクベースのアプローチを活用し、調査中の影響する製品のみを報告書の中でリストアップしています。その他のVizrt製品には、潜在的な脆弱性は見当たりません。

影響を受けた製品と対策

Viz One: 7.2 Viz Oneをご使用のお客様には、プロフェッショナルサービスからご連絡を差し上げますが、お客様のグローバルサポートアカウントにご連絡いただければ、パッチを適用することができます。

Viz Mosart Grass Valley K2およびEVS Xedioを使用している場合、これらのサードパーティプラグインの潜在的なリスクが確認されています。私たちはEVSおよびGrass Valleyと積極的に対話をしており、彼らは必要な詳細について積極的に取り組んでいます。近日中に更新される予定ですが、初期の対応では、リスクはないことが示唆されています。さらなる安心のために、https://evs.com/log4shellをお読みください。もし、Grass Valley K2またはEVS XedioとMosartを組み合わせて使用していない場合は、この情報を無視していただいて結構です。なお、Mosartに脆弱性はありません。

Apache Log4j (CVE-2021-44228)の重大な脆弱性が公表されて以来、観測された活動のほとんどは、コインマイナー、Cobalt Strikeによる認証情報の盗難や横移動、感染したシステムからのデータ流出であるとサイバー防衛やセキュリティ研究者は警告しています。

改善アドバイス

Vizrtでは、Log4jを含む環境を管理されているお客様に対して、以下のことを強く推奨しています。

脆弱性のあるLog4jのバージョンを使用しているかどうかのチェックを実行します。

• Linux OSの場合、-findを実行します。-タイプ f | grep -i log4j

既存のデプロイメントにおいて、Log4jのバージョンが2.10以上である場合にこの問題を軽減するには、以下のいずれかを行ってください。

• 環境変数 LOG4J_FORMAT_MSG_NO_LOOKUPS=true を設定する。
• Java アプリケーション/サービスを -Dlog4j2.formatMsgNoLookups=true で起動する。
• クラスパスから JndiLookup クラスを削除します。

詳細については、Vizrtサポートにお問い合わせください。

セキュリティに関する一般的な注意事項

セキュリティ防御の衛生と対策をしっかり行うことで、敵対する状況下でも、ビジネスに不可欠なインフラを侵害から守り、安全を確保することができます。Vizrt製品のセキュリティは、(a)ネットワークインフラとエンドポイントを不正アクセスから保護すること、(b)適切なセキュリティコントロールなしに資産をインターネットに露出しないことを強く推奨しています。(c)組織のITセキュリティ運用ポリシーに沿った管理環境と本番環境を構成し、徹底的な防御を検討する。

• 
•