懸念される第二段階　最悪の脆弱性「Log4Shell」

そのやっかいな特徴

　Log4Shellの脆弱性には、広範囲に存在することだけでなく、非常にやっかいな特徴がある。Dark Reading（17日付け）は、問題を大きくしている要素として、次のようにまとめている。

1）Log4jは一般的なコンポーネントのため、特権的なアクセス不要で悪用される（ID、パスワードなどの情報不要）。

2）外部から安全であることを知るための100％信頼できる方法がない（唯一の確かな方法は、全ての脆弱なLog4jインスタンスにパッチを適用することだ。しかし、開発者が書いたコードだけでなく、使用しているパッケージまで対応しなければならない）。

3）攻撃者は、ターゲットのログに特定の文字列を書き込ませるだけで済む（しかも、方法はたくさんある）。

4）検知システムから結果を受け取るまでにかなりのタイムラグが生じる可能性がある（脆弱なシステムが「安全」と判定されているかもしれない）。

　つまり、対応は一筋縄ではいかず、安全確認も難しい。Dark Readingは「状況はかなり混乱しており、しばらくはこの状態が続くと思われる」との見通しを示している。

　機能的には、「アプリケーションをだまして、リモートのリソースを強制取得させる」という使い方ができる。「ログに特定の文字列を送り込むだけで済む」という簡単さで、サービスプロバイダーのサーバーを操作できることも分かっている。

　例えば、The Vergeによると、iPhoneのデバイス名を特定文字列に変更してAppleのサーバーを強制的に操作できる。iPhoneからAppleのサーバーにアクセスさせ、別のサーバーに用意したマルウェアを呼び込む手法で、オランダの研究者が実証した。別の研究者はTeslaでも同様のことができることを確認したという。