このセキュリティ通知は、Apache Log4jの脆弱性（CVE-2021-44228）によってZendeskサービスが受ける影響についての最新情報を提供します。この脆弱性は、一部ではLog4Shellと呼ばれています。

2021年12月23日のステータスアップデート：Zendeskでは、当社の製品環境でこの脆弱性に対する既知のインスタンスを軽減しています。

この脆弱性について

人気の高いJavaのログライブラリであるLog4jに、リモートコード実行（RCE）の脆弱性が発見されました。この業界全体のセキュリティ上の脆弱性により、認証されていない攻撃者が、このライブラリが展開されたシステム上でコードを実行することが可能になります。これは多くのソフトウェア製品とオンラインサービスに影響を与える重大な脆弱性です。

この脆弱性はZendeskにどのような影響を与えますか？

Zendeskでは自社製品にApache Log4jを利用しています。この脆弱性は2021年12月9日（木）に判明しました。 Zendeskでは、この脆弱性を示す既知のインスタンスを軽減しており、引き続きこの問題を監視します。

これに伴い、インシデント対応プロセスをアクティブにし、Zendesk製品全体でLog4jの使用を調査しました。その結果：

• Zendeskは、すべての製品でLog4jのデプロイメントを特定し、トリアージを行い、ベンダー提供の更新または推奨される軽減策をZendeskのシステムに実装しました。
• Zendeskは新しい情報が得られ次第、復処理者や重要なベンダーと協力して、私たちが利用する環境の脆弱性を引き続き修正していきます。

また、悪意のある利用を阻止するためのルールを導入することで、この脆弱性を緩和しました。しかし、これらのルールは100%の効果ではなく、二次的なレベルの緩和にすぎません。

現時点で、当社製品におけるLog4jの使用状況の調査は完了しており、当社のセキュリティチームは、定期的なセキュリティ監視とパッチ管理の実装の一環として、Log4jに関連するセキュリティ上の問題を引き続き追跡しています。

 

CVE-2021-45046およびCVE-2021-45105はZendeskで調査されましたか？

この脆弱性への対応の一環として、ZendeskはLog4jのCVE-2021-45046およびCVE-2021-45105についても調査しました。リスク評価を行い、重大なリスクが見つかった箇所には対策を講じました。なお、CVE-2021-45105はサービス拒否の脆弱性であり、ほとんどの設定には影響しません。

どのような対応をとるべきか

• Zendeskサービスのユーザーは、この時点では何もする必要はありません。
• Professionalサービス契約に基づいて開発されたカスタム製品のユーザーは、通常、自分のセキュリティ更新に責任がありますが、必要に応じて契約を確認し、Log4jコンポーネントの使用を検証する必要があります。

また、Zendeskでは、お客様が開発または展開したカスタムアプリやインテグレーションで、Apache log4jログライブラリとZendesk製品を組み合わせて使用することを強くお勧めします。 

脆弱なバージョンを使用していることが特定された場合は、Apache Software Foundationによって提供される修正済みバージョンにアップグレードするか、ベンダーが推奨する緩和策を実装することを強くお勧めします。

 

より詳しい情報はどこで入手できますか？

この脆弱性に関する追加情報は次の記事で参照できます。

• Apache Software Foundation：Apache Log4jのセキュリティの脆弱性
• 国家脆弱性データベース：CVE-2021-44228