2021/12/15 | ジュリアン ソリアーノ、最高情報セキュリティ責任者(JULIEN SORIANO, CHIEF INFORMATION SECURITY OFFICER)
2021年12月9日、セキュリティ研究者が高リスクのゼロデイ脆弱性に関するレポート(CVE-2021-44228) を発表し、広く使われているソフトウェアパッケージ(Apache Log4J) に影響があり、リモートから任意のコードを実行可能になることを指摘しました。Log4j はwebアプリケーションやクラウドサービス提供者では広範に使われており、この脆弱性の全体像は複雑で、及ぼす影響範囲の全容は未だ明らかにされておりません。
現時点では、Boxが提供するサービスとシステムが影響を受けた形跡はありません。Boxにあるお客様のコンテンツは安全であり、Log4Jの脆弱性の影響を受けていないと考えています。
Boxのセキュリティおよびエンジニアリングチームは、直ちにこの脆弱性を調査し、潜在的な影響について継続してシステムの評価を行っています。我々が調査した特定のケースにおいて、Boxの広くコンプライアンス認証への対応と業界のベストプラクティスとなっている多層に渡る防御策が、Log4Jの脆弱なバージョンの悪用を阻止しています。
また、対応の一環として、脆弱なパッケージへのパッチ適用を開始し、以下の追加措置を講じています。
- パッチ適用前に、すべてのパッチ適用済みサービスに悪意ある動作がないかの徹底的な検証
- パッチ適用後もログの監視と分析を継続
- 今後数日間、社内で追加のパッチ適用を継続
- さらに潜在的な脆弱性や影響を評価するため、厳格な第三者によるリスク管理プロセスの一環として、外部ベンダーと協議
ファイル共有とは?取引先やリモートワーカー同士の安全な方法
Log4jの脆弱性については、今後も必要な更新情報のご提供をお約束します。お客様のデータの保護は当社の最優先事項です。また、現時点でBoxの基盤に関してお客様に取っていただくアクションはありません。具体的な懸念事項については、support.box.comを参照いただくか、Box Trust Centerでセキュリティ、プライバシー、コンプライアンスに対する当社のアプローチについてご確認ください。
※Box Blogに掲載された原文はこちらをご覧ください。
