最近のセキュリティ調査により、さまざまなソフトウェアプロバイダーで広く使用されているJavaベースのロギングユーティリティ、ApacheのLog4jで、リモートコード実行(RCE)の脆弱性(CVE-2021-44228)が確認されました。
この問題が最初に確認されて以来、Udemyのセキュリティチームでは、システムを注意深くチェックし、保護してきました。現時点において、この脆弱性が企業や個人のデータに悪影響を及ぼしたという指標はありません。Udemyでは引き続き、この脆弱性がUdemyのインフラストラクチャやアプリケーションに及ぼす影響について調査していきます。
このようにリスクが高く、深刻な影響を及ぼす脆弱性について、Udemyのチームは、脆弱性レベルの確認、ネットワーク接続の制限、ソフトウェアやシステムのアップデートの適用、必要に応じたワークアラウンドの実行など、多くの対策を速やかに講じています。セキュリティチームとエンジニアリングチームでは、Udemyの環境、主要な復処理者、本脆弱性インスタンスのベンダー、攻撃未遂、契約関係にあるサードパーティからの通知を監視していきます。
追加の情報が入りましたら、このページでお知らせします。Udemyのセキュリティチームは、セキュリティ専門家の推奨事項に随時従い、Udemyシステムの安全性を確保するよう努めています。そのため現在は、個別の対応を行っておりません。Udemyの対応に関する詳細は、以下のよくある質問を参照してください。
Log4j(2.0-2.14.1)のより安全なバージョンにアップデートしましたか?
以前にLog4jの脆弱性のあるバージョンが使用されていた箇所については、推奨される新しいバージョンへのアップグレードや、ワークアラウンドの実行といった是正措置を慎重に講じてきました。また、Udemyのシステムをグローバルな規模で保護するため、多層防御も整備しました(例: インバウンドおよびアウトバウンドのネットワーク接続での追加制限の適用など)。
是正措置が完了するのはいつですか?
Udemyのセキュリティチームでは、Log4jの脆弱性による攻撃パターンが進化するなか、セキュリティ専門家やベンダーの推奨事項を常にチェックし、そのような推奨事項が共有され次第、是正措置や軽減措置を継続していきます。
顧客データの漏洩などはありましたか?
現時点において、この脆弱性が企業や個人のデータに悪影響を及ぼしたという指標はありません。
Log4jが与える影響について、Udemy環境で使用しているサードパーティのベンダーに確認していますか?
Udemyでは、すでに各ベンダーに連絡し、ベンダーがリリースするアップデートをツールに適用しました。また、セキュリティ専門家からの集約リストを確認し、その他の推奨されるセキュリティ軽減措置にツールごとに対応しています。