Apache Log4j の脆弱性に対するTwilioの対応

Twilioは、当社製品とお客様のデータのセキュリティが最も重要であると考えており、そのセキュリティを脅かす可能性のあるインシデントが発生した場合には、可能な限りお客様にその事実をお伝えしています。そのため、先日発見されたJavaのログ出力ライブラリLog4jのゼロデイ脆弱性への対応について、以下に概要を説明いたします。

これまでの経緯

2021年12月9日、Apacheは、同社の人気JavaロギングライブラリLog4jにリモートコード実行(RCE)の脆弱性(CVE-2021-44228)があることを一般に公開しました(一覧、CVE-2021-44228)。同CVEの概要を確認した後、Twilioはセキュリティインシデントに対する対応プロセスを開始し、Twilioへの潜在的な影響を評価するとともに、該当の脆弱性を悪用した攻撃が仮りに行われた場合の修復措置を速やかに開始しました。

弊社のこれまでの対応

その後の調査で、影響を受けるLog4jのバージョンのTwilio環境における利用状況を評価・特定しました。現在Twilioは、これら影響を受けるLog4jのバージョンをできるだけ早く修正するよう、主にパッチ適用をとおした取り組みを実施中です。

この調査・対応プロセスは現在も進行中ですが、弊社のセキュリティチームは、Twilio環境に影響を及ぼす脆弱性の悪用を未然あるいは速やかに検出・保護するための予防措置も講じています。本記事の投稿時点では、この脆弱性を悪用した事案は確認されておりません。弊社環境への不正アクセスに気付いた場合、影響を受けるお客様に対して遅滞なく通知いたします。

今後のステップ

Twilioのセキュリティインシデント・レスポンスチームは、今後何か変更等があった場合、このページ(=英語記事側)で更新をお知らせいたします。ご不明な点がございましたら弊社サポート部門まで、あるいはパートナー様を経由してTwilioサービスをご契約の場合にはパートナー様のサポート部門までお問い合わせください。