Apache Log4j Core の脆弱性 CVE-2025-68161 が FIX：TLS 検証の不備と中間者攻撃

Apache Log4j Vulnerability Allow Attackers to Intercept Sensitive Log Data

2025/12/19 CyberSecurityNews — Apache Logging Services が公表したのは、Log4j Core に存在する深刻なセキュリティ脆弱性 CVE-2025-68161 に関する情報である。この脆弱性の悪用により、アプリケーションのログデータが窃取／改竄される可能性があると指摘されている。この脆弱性は Log4j の Socket Appender コンポーネントに存在し、中間者攻撃の攻撃ベクターとなる恐れがある。その影響範囲は、バージョン 2.0-beta9 〜 2.25.2 までが対象となる。

影響を受ける Log4j バージョンの Socket Appender は、ピア証明書に対する TLS ホスト名検証を適切に実行できない状態にある。つまり、検証機能の有効化を管理者が明示的に設定している場合であっても、この脆弱性により、無効な状態が維持されてしまう。

この欠陥により、クライアントとログレシーバーの間に位置する攻撃者は、機密性の高いログ・トラフィックの傍受またはリダイレクトが可能になる。ただし、この脆弱性を悪用する攻撃者は、特定の前提条件を満たす必要がある。具体的には、信頼される認証局が発行したサーバ証明書を提示した上で、クライアントとログレシーバーとの間のネットワーク・トラフィックを傍受することになる。

CVE ID	Component	Affected Versions	CVSS Score	Issue
CVE-2025-68161	Apache Log4j Core	2.0-beta9 through 2.25.2	6.3	Missing TLS hostname verification in Socket appender

設定されたトラスト・ストアを通じて、Socket Appender が対象となる証明書を信頼した場合に攻撃は成功し、ミッション・クリティカルなログデータが漏洩する可能性がある。

このログ記録フレームワークの設計では、ユーザー・アクティビティ／システム・イベント／アプリケーション動作データなどの機密情報が取り扱われる。したがって、組織が保護すべき機密情報が、そのログファイルに含まれる場合が多い。この脆弱性は、権限を持たない第三者が、検知されることなくログストリームへアクセスできる状態を作り出し、その保護を弱体化させる。

Apache Logging Services セキュリティチームは、この問題を CVSS 4.0 スコア 6.3 と評価し、深刻度を Medium に分類した。このスコアリングは、攻撃の複雑さと悪用に必要とされる特定の前提条件を反映している。

対策および推奨事項

すでに Apache は、Log4j Core バージョン 2.25.3 をリリースし、この TLS ホスト名検証の問題に対処している。影響を受けるバージョンを使用する組織にとって必要なことは、優先してアップグレードを実施し、ログ記録インフラのセキュリティを確保することだ。

また、迅速なアップグレードが不可能なシステムに対して、Apache が推奨するのは、トラスト・ストアの使用範囲を慎重に制限することだ。NIST SP 800-52 Rev. 2 のガイドラインには、「管理者はトラスト・ストアを適切に構成し、プライベート CA／エンタープライズ CA などの、特定の通信スコープに必要な CA 証明書のみを含めるようにすべきだ」と記されている。

Apache Logging Services セキュリティ・チームは、包括的なセキュリティ脆弱性開示プログラムを維持している。同組織は、集中型の脆弱性追跡システムおよび “logging.apache.org” で公開される脆弱性レポートを通じて、セキュリティ情報の正確性／完全性／可用性を最優先の事項としている。Log4j に依存している組織にとって必要なことは、現在使用しているバージョンの確認と、アップデートの速やかな適用である。

Apache Logging Services チームは、世界中のエンタープライズ・アプリケーションで広く使用されているログ・ソリューションに影響を及ぼす、依存関係やセキュリティ脅威を継続的に監視／対応している。

この問題は、ログデータを外部に送信する Socket Appender という機能において、接続先の正当性を確かめる TLS ホスト名検証が、適切に行われないことに起因します。通常では、セキュリティを高めるために通信を暗号化 (TLS) しますが、今回のケースでは、たとえ管理者が検証機能を有効化していても、内部的な不備により設定が正しく反映されず、検証が無効なまま動作してしまいます。その結果として、ネットワークの途中で攻撃者が用意した偽のサーバに接続してしまっても気づけなくなり、大切なログデータの盗聴や改竄などのリスクが生じていました。ご利用のチームは、ご注意ください。よろしければ、Apache Log4j での検索結果も、ご参照ください。