[市場動向]

ラック、Apache Log4j脆弱性の無料診断サービス、Webアプリケーション越しに脆弱性を検出

自社の対策状況を把握する「緊急対策チェックシート」も提供

2021年12月20日(月)日川 佳三(IT Leaders編集部)

ラックは2021年12月20日、Javaのログ出力ライブラリ「Apache Log4j」の脆弱性を無料で診断するサービスを開始した。同日(12月20日)から12月28日まで、期間限定で提供する。同期間中に、ユーザーのWebアプリケーションにリモートからHTTPでアクセスして診断する。脆弱性のあるライブラリを使っているかどうかが分かる。あわせて、自社の対策状況を把握するための「緊急対策チェックシート」も提供する。

 セキュリティベンダーのラックは、Javaのログ出力ライブラリ「Apache Log4j」の脆弱性を無料で診断するサービスを開始した(図1)。12月20日から12月28日の期間限定で提供する。同期間中に、ユーザーのWebアプリケーションにリモートからアクセスして診断する。脆弱性のあるライブラリを使っているかどうかが分かる。あわせて、自社の対策状況を把握するための「緊急対策チェックシート」も提供する。

図1:Javaのログ出力ライブラリ「Apache Log4j」の脆弱性を無料で診断するサービスを開始した。あわせて、自社の対策状況を把握するための「緊急対策チェックシート」も提供する(出典:ラック)図1:Javaのログ出力ライブラリ「Apache Log4j」の脆弱性を無料で診断するサービスを開始した。あわせて、自社の対策状況を把握するための「緊急対策チェックシート」も提供する(出典:ラック)
拡大画像表示

 リモート診断では、あらかじめ用意してあるシナリオを使って、実際にユーザーのWebアプリケーションにHTTPでリモートアクセスする。ラックによると「リモート越しに攻撃者が脆弱性を突いて攻撃する場合に想定されるシナリオ」を使う。診断サービスを申し込んだすべてのユーザーに対して同じシナリオを使う。シナリオに基づいて実際に攻撃が成功するか(Webアプリケーション越しにlog4jの脆弱性が検出されるか)を診断する。

 あわせて提供する緊急対策チェックシートは、Log4jの脆弱性に対して「自社の組織において現在どのような対策ができているのか」を把握するために作成した。公的機関(IPA、JPCERT/CCなど)やラックの知見に基づいたアドバイスを記載している。ラックによれば「セキュリティ診断だけでは対策や備えは不十分」であり、対策の現状を把握した上で対策を講じることが必要である。

 無料診断サービスは、申し込みフォームから申し込む。1社につき1つのFQDN(Webアプリケーションのホスト名)まで診断する。診断対象は、サービスを申し込んだユーザーが保有しているWebアプリケーションで、社内で診断の許可を得ているものに限る。提供期間内(12月20日~28日)のいずれかの、ラックの営業日に診断を実施する。申込受付期間は、12月24日18:00まで。

 なお、ラックのセキュリティ監視センター「JSOC」もLog4jに関する注意喚起を公開している。

関連キーワード

ラック / Apache Log4j / リモート診断

関連記事

Special

-PR-

ラック、Apache Log4j脆弱性の無料診断サービス、Webアプリケーション越しに脆弱性を検出ラックは2021年12月20日、Javaのログ出力ライブラリ「Apache Log4j」の脆弱性を無料で診断するサービスを開始した。同日(12月20日)から12月28日まで、期間限定で提供する。同期間中に、ユーザーのWebアプリケーションにリモートからHTTPでアクセスして診断する。脆弱性のあるライブラリを使っているかどうかが分かる。あわせて、自社の対策状況を把握するための「緊急対策チェックシート」も提供する。

PAGE TOP