Log4jの脆弱性「Log4Shell」に関するお知らせ

平素より、グローバルサインのサービスをご愛顧いただき誠にありがとうございます。

2021年12月10日（金）にApache Log4j Zero Day Vulnerability CVE-2021-44228、通称「Log4Shell」が公開されて以来、GlobalSignのセキュリティおよびインフラチームは、当社の環境が影響を受けていないことの調査をすすめてきました。

すべてのインフラとサービスを調査し、脆弱なバージョンのlog4jライブラリを使用しているサービスにパッチの適用、もしくは隔離を行いました。脆弱性のあるバージョンを利用していたサービスについては、関連するログを詳細に調査しましたが、これらのサービスへの攻撃が成功したことを示す証拠は見つかりませんでした。ここ数日、この脆弱性を狙った攻撃が確認されましたが、これらは該当サービスにパッチを適用した後に発生しており、いずれも失敗に終わっています。 

この調査結果により、当社の環境はこの脆弱性から十分に保護されている状況であると現時点では判断しておりますが、状況に変化がありましたら適宜お知らせいたします。
※グローバルサイン社が自社の環境を保護するために行っている対策については、こちらの資料をご参照ください。