無地の背景の Slack ロゴ
ニュース

Apache Log4j2 の脆弱性に関する更新情報

Slack チーム一同作成2021年12月21日

更新 : すべてのサードパーティベンダーについて、CVE-2021-44228 と CVE-2021-45046 の両方で特定されている問題に対処するためのパッチが適用されたことが確認されました。

概要

2021 年 12 月 9 日公表の CVE-2021-44228 により、Apache Software Foundation の Java ライブラリである Log4j の重大な脆弱性が判明しました。その後の CVE-2021-45046 も Log4j が関係するものでした。Slack では、ほかの多くのクラウドベースのサービス同様、ログの処理に Log4j が使用されています。

Slack では、インフラストラクチャとアプリケーションの状況を調査し、脆弱性の影響を緩和するための更新を実行する手順をただちに実施しました。CVE-2021-44228 に対する当面の緩和処置が 2021 年 12 月 13 日に、CVE-2021-45046 に対する処置が 12 月 17 日に、それぞれ実施されました。2021 年 12 月 17 日時点で、これまでに CVE-2021-44228 および CVE-2021-45046 で明らかにされた問題に対する脆弱性に対し、Slack で運用中のサービスには必要なパッチと緩和策がすでに適用されており、最終的な検証段階にあります。

誰が影響を受けたか

現時点で、影響の分析は完了していません。Slack.com のサービスとカスタマーデータがリスクにさらされる脆弱性が見つかった場合、Slack では調査を実施し、その脆弱性が攻撃者によってカスタマーデータへのアクセスに利用されたかどうかを判断することにしています。CVE-2021-44228 と CVE-2021-45046 についての調査は現在進行中であり、完了までいくらか時間がかかります。この脆弱性の結果としていずれかのお客様のデータに対する侵害が発生したことがわかった場合、そのお客様に遅滞なくご連絡いたします。

Slack としてほかにできること

現在、一時的な対策を恒久的な対策とするため、緩和プロセスに見落としがないかどうかの検証を引き続き進めています。また、Slack に脆弱性が存在していた期間にお客様のデータに影響があったかどうかを判断する調査も進行中です。

[編集者注 : サードパーティベンダーの状況が確認されました、上部の更新をご覧ください。] また、一部のベンダーについては、先方が自社の提供するサービスに対するパッチの適用を完了したことの確認を待っています。Slack では、Log4j の脆弱性に関する事態の進展を引き続き見守り、必要に応じて緩和策を更新していく予定です。

お客様側での対応

Slack のインテグレーションをご使用の場合、関連したリスクについての調査をお勧めします(下記参照)。Slack サービスそのものは、バックエンドでアップデートされました。Slack のクライアントソフトウェアには Log4j が使用されていないため、お客様の側での更新は必要ありません。また、Slack サービスの保護を目的としてデプロイされるパッチや緩和策の受け取りのための変更なども不要です。

さらに詳細な情報が必要な場合

Slack では、Log4j が使用されているケースを洗い出すため、これらの脆弱性への対応として、運用中のサーバー、企業の運用環境、コードリポジトリ、実行中のプロセスに対する調査を実施しました。このデータを脆弱性が存在する可能性のあるサービスをリストにまとめ、問題の潜在的な影響を緩和するためのパッチや回避策の適用を開始しました。現時点で、Slack サービスに対しては CVE-2021-44228 および CVE-2021-45046 の推奨内容に沿った緩和策がすでに実施されています。今後も、新しい情報が入れば、これらの脆弱性の潜在的な影響についての評価を継続します。

Slack のサービスと API では Log4j を使用してデータが処理されていますが、Slack クライアントについてはモバイル版にもデスクトップ版にも Log4j が使用されていないため、それらの脆弱性の影響を受けることはありません。

この脆弱性が App ディレクトリ内のサービスプロバイダに及ぼす影響については、評価することができません。Log4j を使用しているサービスもあれば、していないものもあります。詳細については、Slack の App ディレクトリに表示されたアプリの「サポート」リンクを使ってサービスのプロバイダに直接お問い合わせください。

Slack 内のデータとのやり取りが発生するお客様独自のインテグレーション(カスタムインテグレーション)が作成されている場合、Log4j が使用されているかどうか、以下の点をご確認ください。

  • そのカスタムインテグレーション経由で Slack にデータを書き込む場合、Slack のサーバーを保護する責任は Slack にあり、上記のとおり Log4j の脆弱性を緩和するための更新はすでに実施されています。
  • Slack から情報を読み取ってお客様側のインフラストラクチャに配信する場合、お客様が Slack ワークスペース内に保存しているデータがすべて信頼できるソースからのものであれば、リスクは低くなります。
  • ただし、十分信頼できないソースからのデータが Slack ワークスペースに投稿されている場合は、Log4j によるロギングをサポートしているインフラストラクチャにパッチが適用され、最新の状態になっていることをただちに確認してください。

ほかに知っておくべき点

Log4j ライブラリとその問題点についての理解の助けとなる情報を、いくつかの情報源から入手できます。さらに詳細な背景情報が必要な場合、以下の情報を参照されるようお勧めします。

技術的なご質問は、Slack のサポートチームにお問い合わせください。喜んで調査いたします。

    この記事はお役に立ちましたか?

    0/600

    助かります!

    ご意見ありがとうございました!

    了解です!

    ご意見ありがとうございました!

    うーん、システムがなにか不具合を起こしてるみたいです。後でもう一度お試しください。