ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾(1/6 ページ)

» 2022年01月31日 11時00分 公開
[星暁雄ITmedia]

 Javaのライブラリ「Apache Log4j 2」に深刻な脆弱性が発見されたことは記憶に新しい。1カ月以上経過した現在も、注意喚起や新たな情報提供が続いている。問題は完全に収束したとはいえない。

 今回の記事の主題は脆弱性対策ではない。「Javaの歴史的経緯と、今回騒ぎになっている脆弱性の話を、うまく1本の記事にしてください」という編集部のオファーに応じて書いたものだ。記事の半分は「元・Java専門記者のナイショ話」である。現実の情報システムへの対処が必要な方は、まず下記ページから最新情報をチェックしていただきたい。

 Log4j 2で今回問題となった脆弱性は、プログラミングやコンピュータの知識が少しあれば「なぜこんな危険な実装がされていたのか」と疑問に思う内容だ。Javaのデビュー時から専門記者として取材を続けてきた筆者にとって、残念であり、ため息が出る出来事だった。歴史の歯車が別の方向に噛み合っていれば、こうはならなかったのではないか──。

 これは封印された"魔神のかけら"と、想定外の複雑さを抱えたJava処理系とエコシステムがもたらした悲劇だ。

 どういうことなのか。脆弱性の内容とJavaの歴史から、この魔神の正体と悲劇の背景をひも解いてみたい。まずは脆弱性について見ていこう。

JavaのライブラリLog4j 2に潜む深刻な脆弱性が明らかに

 事の起こりは2021年12月10日。Apache Log4j 2に深刻な脆弱性が発見され、「CVE-2021-44228」と番号が振られた。IPA(情報処理推進機構)の情報セキュリティページでは、この脆弱性について「遠隔の第三者が細工したデータを送ることで、任意のコマンドを実行される可能性があります」と表現している。

Apache Log4j 2のトップページ(2022年1月27日時点)。CVE-2021-44228をはじめとする複数の脆弱性について情報を周知している

 この脆弱性は、サイバー攻撃をする側にとっては「なんでもあり」を意味するものだ。Webサーバに、ある種の細工をしたログを残せば、そこからあらゆる攻撃が可能となる。実際、悪意のある文字列をhttpリクエストという形で多くのIPアドレスに無差別に送り込むサイバー攻撃が観測されている。

 脆弱性を悪用すれば、DDoS(Denial of Service:サービス拒否)攻撃のためのbotを走らせたり、サーバ上の情報(個人情報が含まれているかもしれない)を盗み出すプログラムを仕込んだりと、ありとあらゆる良からぬ行いが可能となる。

 この脆弱性が深刻である理由として、Javaテクノロジーも、Apacheのオープンソース・ソフトウェア群も広く普及していることがある。ITmediaの記事にもあるように、Javaが使われている範囲は広いため、Javaで開発されたシステムの数は非常に多い。しかもほとんどのプログラムにログ収集機能が備わっているため、Log4j 2が使われている可能性も高い。実際、Log4j 2はゲーム「Minecraft」から業務システムまで非常に多数のシステムに組み込まれている。そのため、今回の脆弱性は「悪夢」「破滅的」といった表現で伝えられた。

 Log4j 2の脆弱性が周知されたのは12月10日の金曜日だった。脆弱性への対応のために休日出勤を迫られたシステム開発関係者も多かったようだ。Log4j 2の脆弱性は直ちに修正されたが、派生して複数の新たな脆弱性が報告されている。詳しくは上述したプロジェクト公式ページやIPAの更新情報などをチェックしていただきたい。

 心配なのは、システムへの対応する人員が手薄な情報システムだ。「すでにサイバー攻撃の被害が発生しているが、それに気が付いていない」という可能性がある。一般にサイバー攻撃では、被害が発覚するまで1年以上といった長い時間がかかるケースがよくある。情報システムの保守に関わっている方々にとって厄介な状況はしばらく続くと考えた方がいいだろう。

中国政府は「最初に政府に報告しなかった」とアリババを処分

 この脆弱性をめぐり、別の種類の注目すべきニュースがあった。中国政府の対応だ。

 Apache Log4j 2の脆弱性を発見したのは中国Alibaba Cloudのエンジニアだったが、その脆弱性をまず米Apache Software Foundationに報告した。ソフトウェア開発者の行動としては世界標準なのだが、これが中国の規制当局の逆鱗に触れた。

 中国政府系メディアの報道によれば、中国のインターネット・セキュリティ当局はアリババ・グループ・ホールディングのクラウド・コンピューティング・サービス部門に対して情報共有パートナーシップを停止する処分を決定した。

 中国政府は「自分たちよりも先に脆弱性を知る者がいる」状況を嫌ったのかもしれない。何者かが先制してサイバー攻撃を仕掛けることにつながる可能性があるからだ。深刻な脆弱性の発見は、サイバー戦争のための強力な新兵器が登場してパワーバランスが変わってしまうことを意味する。新たなサイバー攻撃が発生しやすい状況といえる。

       1|2|3|4|5|6 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.