Slide 21
Slide 21 text
21
Log4Shell
freeeの場合
2021-12-10(金) Log4jのZero-dayとして出回ってしまう
freeeのrepository内に、log4jの直接の記述はないことを確認
2021-12-11(土) 12:20 CVE-2021-44228として開示される
CVSS 10
2021-12-12(日) 14:00 Log4Shell CloudOne Workload Security IPS signature 配布開始
17:00 に初の検知
2021-12-13(月) 難読化が施された攻撃が着弾し始める
JAR/WAR fileをloadし回って、Log4jがloadされないことを確認