当社サービスにおけるApache Log4jの脆弱性対策についてお知らせします。
Apache Log4j の脆弱性についての情報はコチラを参照ください。(情報処理推進機構のサイト)
昨今話題となっております Log4j は Java のライブラリです。当社サービスである Re:lation は この Log4j を利用しておりません。
Re:lation はサーバとして AWS を利用しています。この AWS の内部のサービスについては Log4j を使っているものがあります。その内、 Re:lation に影響があるものとしては以下の2つのサービスが存在します。
- Amazon OpenSearch
- API Gateway
上記の内、 Amazon OpenSearch を利用しているサーバはネットワーク的にプライベートなセグメントにあるため、外部からの直接的な攻撃はできません。加えまして、 AWS よりこの脆弱性を防ぐためのパッチは12月14日に公開されており、同日中に適用が完了しております。またもう一方の API Gateway につきましても AWS により同様に適用済みです。(AWS による対応内容についてはコチラを参照ください)
上記の通り、この Apache Log4j の脆弱性による問題の Re:lation への影響はありません。またあわせまして、WAF によりこの脆弱性に対する攻撃はすべてブロックするように設定済みであることも付記致します。