公開日:2021.12.15 更新日:2023.04.18 Box Japan
2021/12/15 | ジュリアン ソリアーノ、最高情報セキュリティ責任者(JULIEN SORIANO, CHIEF INFORMATION SECURITY OFFICER)
2021年12月9日、セキュリティ研究者が高リスクのゼロデイ脆弱性に関するレポート(CVE-2021-44228) を発表し、広く使われているソフトウェアパッケージ(Apache Log4J) に影響があり、リモートから任意のコードを実行可能になることを指摘しました。Log4j はwebアプリケーションやクラウドサービス提供者では広範に使われており、この脆弱性の全体像は複雑で、及ぼす影響範囲の全容は未だ明らかにされておりません。
現時点では、Boxが提供するサービスとシステムが影響を受けた形跡はありません。Boxにあるお客様のコンテンツは安全であり、Log4Jの脆弱性の影響を受けていないと考えています。
Boxのセキュリティおよびエンジニアリングチームは、直ちにこの脆弱性を調査し、潜在的な影響について継続してシステムの評価を行っています。我々が調査した特定のケースにおいて、Boxの広くコンプライアンス認証への対応と業界のベストプラクティスとなっている多層に渡る防御策が、Log4Jの脆弱なバージョンの悪用を阻止しています。
また、対応の一環として、脆弱なパッケージへのパッチ適用を開始し、以下の追加措置を講じています。
Log4jの脆弱性については、今後も必要な更新情報のご提供をお約束します。お客様のデータの保護は当社の最優先事項です。また、現時点でBoxの基盤に関してお客様に取っていただくアクションはありません。具体的な懸念事項については、support.box.comを参照いただくか、Box Trust Centerでセキュリティ、プライバシー、コンプライアンスに対する当社のアプローチについてご確認ください。
※Box Blogに掲載された原文はこちらをご覧ください。
この記事が気に入ったら
いいねしよう!
