Minecraft、重大なLog4jの脆弱性に対するパッチを急遽提供：それぞれのパッチ適用方法解説

スウェーデンのビデオゲーム開発会社Mojang Studiosは、同ゲームのJava Editionクライアントとマルチプレイヤーサーバーで使用されているApache Log4j Javaロギングライブラリの重要なバグに対処するため、Minecraftのセキュリティアップデートを緊急リリースしました。

https://www.minecraft.net/en-us/article/minecraft-java-edition-1-18-1

www.minecraft.net

この脆弱性はJava Edition 1.18.1リリースで修正され、すべてのユーザに配布されています。

このリリースでは、マルチプレイヤー・サーバーの重要なセキュリティ問題が修正され、ワールド・フォグの動作方法が変更されてワールドがより多く見えるようになり、その他にもいくつかのバグが修正されています

マルチプレイヤーサーバーを運用している方は、できるだけ早くこのバージョンにアップグレードすることを強くお勧めします。

Player safety is the top priority for us. Unfortunately, earlier today we identified a security vulnerability in Minecraft: Java Edition.

The issue is patched, but please follow these steps to secure your game client and/or servers. Please RT to amplify.https://t.co/4Ji8nsvpHf

— Minecraft (@Minecraft) December 10, 2021

プレイヤーの安全は私たちの最優先事項です。残念ながら、本日未明に『Minecraft』にセキュリティ上の脆弱性があることが判明しました。Java Editionにセキュリティ上の脆弱性を発見しました。

この問題にはパッチが当てられていますが、以下の手順でゲームクライアントやサーバーの安全を確保してください。またRTしてください。

https://www.minecraft.net/ja-jp/article/important-message–security-vulnerability-java-edition

この脆弱性に対処するため、すべてのバージョンのゲームクライアントにパッチが適用されましたが、ゲームとサーバーを保護するために、以下の手順を実行する必要があります。

公式ゲームクライアントの場合

Minecraft をプレイしている場合、Java Edition をプレイしているが、自分のサーバーをホストしていない場合は、次の手順を実行する必要があります。

起動しているゲームと Minecraft Launcher のインスタンスをすべて閉じます。再度 Launcher を起動すると、パッチが適用されたバージョンが自動的にダウンロードされます。

カスタマイズクライアントとサードパーティ製ランチャーの場合

カスタマイズされたクライアントやサードパーティ製ランチャーは、自動的にアップデートされない場合があります。

このような場合には、サードパーティのプロバイダーのアドバイスに従うことをお勧めします。

サードパーティの提供者が脆弱性にパッチを当てていない、あるいはプレイしても安全であると述べていない場合は、脆弱性が修正されていないと考え、プレイすることでリスクを負うことになります。

ゲームサーバー

独自のMinecraft.Java Editionサーバーをホストしている場合、安全性を確保するためには、使用しているバージョンに応じて異なる手順を踏む必要があります。

1.18: 可能であれば 1.18.1 にアップグレードしてください。アップグレードできない場合は、1.17.xと同じ方法で行います。

1.17: 起動時のコマンドラインに以下のJVM引数を追加してください。

-Dlog4j2.formatMsgNoLookups=true

1.12-1.16.5: このファイルを、サーバーが動作する作業ディレクトリにダウンロードします。そして、起動時のコマンドラインに以下のJVM引数を追加します。

-Dlog4j.configurationFile=log4j2_112-116.xml

1.7-1.11.2: このファイルを、サーバーが動作する作業ディレクトリにダウンロードします。そして、起動時のコマンドラインに以下のJVM引数を追加します。

-Dlog4j.commercialFile=log4j2_17-111.xml

1.7以前のバージョンには影響はありません。

リモートコード実行を積極的に利用する脆弱性

このバグは、CVE-2021-44228として追跡され、Log4ShellまたはLogJamと呼ばれています。

このバグは、JavaベースのロギングライブラリであるApache Log4jに見つかったリモートコード実行（RCE）の欠陥であり、Alibaba Cloudのセキュリティチームによって報告されました。

この欠陥は、Apache Struts2、Apache Solr、Apache Druid、Apache Flinkなど、Apple、Amazon、Cloudflare、Twitter、Steamなどの無数のエンタープライズソフトウェア製品で使用されている複数のApacheフレームワークのデフォルト設定に影響を与えます。

攻撃者たちは、すでにインターネット上で脆弱なシステムを大量にスキャンしており、CERT NZのセキュリティアドバイザリーによると実世界でも積極的に悪用されているとのことです。

Apacheは、この最大深刻度の脆弱性に対応したLog4j 2.15.0をすでにリリースしています。CVE-2021-44228は以前のリリース（2.10以降）においても、システムプロパティの「log4j2.formatMsgNoLookups」を「true」に設定するか、クラスパスからJndiLookupクラスを削除することで防御することができます。

セキュリティ企業のLunasec社は、CVE-2021-44228の攻撃の深刻さを強調し、

多くのサービスがこのエクスプロイトに対して脆弱です。SteamやApple iCloudなどのクラウドサービスや、Minecraftなどのアプリがすでに脆弱であることが判明しています。

Apache Strutsを使用している人は、おそらく脆弱性があります。以前にも、2017年のEquifaxデータ流出のような情報漏えい事件で、同様の脆弱性が悪用されたことがあります