概要
Apache Software Foundationは、広く利用されているロギングライブラリ「Apache Log4j」の重要なセキュリティアップデートをリリースしました。新たに発見された脆弱性「CVE-2025-68161」は、ソフトウェアがセキュアな接続を確立する方法の欠陥を悪用し、攻撃者が機密のログデータを傍受またはリダイレクトすることを可能にします。
脆弱性の詳細
この問題は特に、中央サーバーへネットワーク経由でログデータを送信する役割を担う「Apache Log4j Core」の「Socket Appender」コンポーネントに影響します。この脆弱性の核心は、Log4jがTLS(Transport Layer Security)接続時にホスト名の検証を怠る点にあります。
- CVE ID: CVE-2025-68161
- 脆弱性タイプ: TLSホスト名検証の欠如 (Missing TLS Hostname Verification)
- 影響を受けるコンポーネント: Apache Log4j Core
- 影響を受けるバージョン: 2.0-beta9 から 2.25.2
- 修正済みバージョン: 2.25.3
- CVSSスコア: 6.3 (Medium)
通常、セキュアな接続が使用される場合、ソフトウェアは接続先のサーバーが正しいものであることを、サーバーのデジタル証明書のホスト名を確認することで検証するべきです。しかし、セキュリティ研究者によると、Log4jのバージョン2.0-beta9から2.25.2では、管理者が明示的にverifyHostName設定またはシステムプロパティlog4j2.sslVerifyHostNameをオンにしても、このホスト名検証が実行されません。
攻撃と影響
この見落としは「中間者攻撃(Man-in-the-Middle, MitM)」の扉を開きます。攻撃者がクライアントアプリケーションとログサーバーの間に自身を配置できる場合、トラフィックを傍受することが可能です。攻撃者は、信頼された認証局によって発行された有効な証明書さえあれば、Log4jがターゲットサーバーの証明書名と一致するかどうかを検証しないため、攻撃者のサーバーを誤って信頼し、ログデータをそこに送信してしまいます。
この欠陥の影響は甚大です。アプリケーションのログには、多くの場合、非常に機密性の高い技術的な詳細、デバッグ情報、そして場合によってはユーザーデータが含まれています。これらの情報が傍受されれば、攻撃者は内部ネットワークをマッピングしたり、他の悪用可能な脆弱性を特定したりするのに役立つ可能性があります。
対策と推奨事項
この問題はセキュリティ研究者のSamuli Leinonen氏によって発見され、Apache Log4j Bug Bounty Programを通じて報告されました。これを受け、Apacheチームは、適切なホスト名検証を強制することでこの問題を完全に解決するLog4j Coreバージョン2.25.3をリリースしました。
ユーザーは直ちにアップグレードすることを強く推奨します。即座のアップグレードが不可能な場合、管理者は「トラストストア」を、通信に必要な特定の証明書のみを含むように制限することで、攻撃者の証明書が受け入れられる可能性を低減することができます。