Log4J(CVE-2021-44228)脆弱性に関するBoxの見解

公開日:2021.12.15 更新日:2023.04.18 Box Japan

2021/12/15 | ジュリアンソリアーノ、最高情報セキュリティ責任者（JULIEN SORIANO, CHIEF INFORMATION SECURITY OFFICER）

2021年12月9日、セキュリティ研究者が高リスクのゼロデイ脆弱性に関するレポート(CVE-2021-44228) を発表し、広く使われているソフトウェアパッケージ(Apache Log4J) に影響があり、リモートから任意のコードを実行可能になることを指摘しました。Log4j はwebアプリケーションやクラウドサービス提供者では広範に使われており、この脆弱性の全体像は複雑で、及ぼす影響範囲の全容は未だ明らかにされておりません。

現時点では、Boxが提供するサービスとシステムが影響を受けた形跡はありません。Boxにあるお客様のコンテンツは安全であり、Log4Jの脆弱性の影響を受けていないと考えています。

Boxのセキュリティおよびエンジニアリングチームは、直ちにこの脆弱性を調査し、潜在的な影響について継続してシステムの評価を行っています。我々が調査した特定のケースにおいて、Boxの広くコンプライアンス認証への対応と業界のベストプラクティスとなっている多層に渡る防御策が、Log4Jの脆弱なバージョンの悪用を阻止しています。

また、対応の一環として、脆弱なパッケージへのパッチ適用を開始し、以下の追加措置を講じています。

パッチ適用前に、すべてのパッチ適用済みサービスに悪意ある動作がないかの徹底的な検証
パッチ適用後もログの監視と分析を継続
今後数日間、社内で追加のパッチ適用を継続
さらに潜在的な脆弱性や影響を評価するため、厳格な第三者によるリスク管理プロセスの一環として、外部ベンダーと協議

Log4jの脆弱性については、今後も必要な更新情報のご提供をお約束します。お客様のデータの保護は当社の最優先事項です。また、現時点でBoxの基盤に関してお客様に取っていただくアクションはありません。具体的な懸念事項については、support.box.comを参照いただくか、Box Trust Centerでセキュリティ、プライバシー、コンプライアンスに対する当社のアプローチについてご確認ください。

※Box Blogに掲載された原文はこちらをご覧ください。

一元管理で業務効率化！メリットや実現に必要なものを解説

業務プロセス最適化とは？その進め方や成功のポイント

Log4J(CVE-2021-44228)脆弱性に関するBoxの見解

RELATED POST関連記事

RELATED RESOURCE関連資料

RECENT POST「Box製品情報」の最新記事

ローデータからインサイトへ: Box AIでClaude Opus 4.6による推論

データ分類がコンテンツ保護ライフサイクルを強化する

次世代のコンテンツセキュリティを実現するAIエージェント

First Look: ClaudeのBoxコネクタ内でMCPアプリのサポート開始

RECENT POST 最新記事RSS

TOPICS トピックス一覧

SEARCHブログ内検索

＞はじめてガイド

＞機能に関するよくある問合せ

＞ご利用シーン

＞ Boxの機能とは？

＞ Boxを使いこなす

＞サポートに問合せたい

＞セミナー・イベント情報