2021 年 12 月 20 日時点で判明している Apache Log4j の脆弱性について、KEPPLE CRM は影響を受けないことをご報告いたします。
以下、技術的な詳細となりますので、必要に応じてセキュリティ担当者様へ展開をお願いいたします。
▼ Apache Log4j とは
Apache Log4j は Apache Software Foundation によって開発されているオープンソースのロギングフレームワークです。Java によって開発されたシステムにおいて高いシェアを持っています。
▼ 脆弱性について
Apache Log4j は 2021 年 12 月 10 日に公開された CVE-2021-44228 以降、緊急度の高い脆弱性が立て続けに判明しております。これらの脆弱性が悪用されるとサーバーにおいて任意のコードが実行される、DoS によってサービスダウンを招くなどの問題が発生します。
2021/12/10 CVE-2021-44228 Severity: Critical
Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints
2021/12/14 CVE-2021-45046 Severity: Critical
Apache Log4j2 Thread Context Lookup Pattern vulnerable to remote code execution in certain non-default configurations
2021/12/17 CVE-2021-45105 Severity: High
Apache Log4j2 does not always protect from infinite recursion in lookup evaluation
▼ KEPPLE CRM が受ける影響について
KEPPLE CRM はロギングフレームワークとして Log4j を使用しておりません。そのため、直接的には脆弱性の影響を受けません。
ただし、KEPPLE CRM が提供する「企業検索 (β)」が内部的に使用する Amazon OpenSearch Service というデータベースサービスは Log4j を使用していることが判明しています。
こちらは提供元である Amazon Web Service においてアップデートが提供されており、提供された当日中に最優先で検証を行い適用しております。よって、現在は脆弱性の影響を受けません。
加えて、アップデートが適用されるまでの数時間において脆弱性が悪用されていないか調査を実施し、そのような事実がないことを確認しております。
また「企業検索 (β)」は内部的にはKEPPLE CRM とはシステムとして分離しており、異なるネットワーク、サーバー、データベースで構成されております。「企業検索 (β)」のデータベースにお客様の情報は一切保存されておらず、「企業検索 (β)」側のシステムから KEPPLE CRM 側のデータベースにアクセスする手段もございませんので、ご安心ください。
▼ 今後の対応について
今後も Apache Log4j の脆弱性が判明する可能性があることから、積極的な情報収集に努め、判明した際には最優先で対応いたします。また、既に導入している Web Application Firewall や脅威検出サービスによるモニタリングによって警戒を強めてまいります。
ご不明な点がございましたら、お気軽にサポートデスクまでお問い合わせくださいませ。
KEPPLE サポートデスク