Apache Log4j

Javaプログラム中で起きる様々な事象についての情報を外部に出力するロギングフレームワークと呼ばれる仕組みの一つで、標準APIのjava.util.loggingなどに代わって広く普及している。プログラム中でログ出力のコードを埋め込んでおくと、Log4jが具体的なログ記録の処理を実行してくれる。

「アペンダ」（appender）と呼ばれる出力処理プログラムにより、指定された対象にメッセージを書き込んだり送信する。アペンダにはローカルファイル（FileAppender）やコンソール表示（ConsoleAppender）、ソケット通信でサーバへ送信（SocketAppender）などの種類があり、複数の宛先に同時に出力するといった動作も可能となっている。

事象の種類により6つのログレベルが規定されており、レベルごとに出力方式を変更できる。「FATAL」は致命的なエラー、「ERROR」は一般的なエラー、「WARN」警告（warning）、「INFO」は情報、「DEBUG」はデバッグ用の情報、「TRACE」はトレース情報を意味する。

プロパティファイルまたはXMLファイルとして記述された設定ファイルによってプログラム外から挙動を変更することができる。プログラム内のロギング用のコードを変更しなくても、ログ出力のオン・オフや出力先（アペンダ）の変更、出力形式（レイアウト）の変更などを設定ファイルによって指示することができる。

Log4Shell脆弱性

2021年にApache Log4jのバージョン2系統（Log4j 2.x）に「Log4Shell」と呼ばれる保安上の欠陥（脆弱性）が発見され、Log4jを組み込んだJavaアプリケーションは遠隔から攻撃者による任意コードの実行が可能となる危険に晒された。

Log4j内部のJNDIおよびLDAPの実装に問題があったために生じた欠陥で、Javaアプリケーションは本番環境でもロギング機構および出力用コードは有効にしたまま運用するのが一般的だったため、全世界で膨大な数のアプリケーションやネットサービスが対応に追われた。

関連用語

Apache

【Apache HTTP Server】

API

【Application Programming Interface】

Java

JPCERT/CC

【Japan Computer Emergency Response Team/Coordination Center】

サーバ

【server】

ログ

【log】

ソフトウェア

【software】

アプリケーションソフト

【application software】

ファイル

【file】

クラス

【class】

アクセス

【access】

サイバー攻撃

【cyberattack】

脆弱性

【vulnerability】

バージョン

【version】

システム

【system】

プログラム

【program】

セキュリティ

【security】

JNDI

【Java Naming and Directory Interface】

リスク

【risk】

CVSS

【Common Vulnerability Scoring System】