懸念される第二段階　最悪の脆弱性「Log4Shell」

　年末のあわただしい時期に、担当者には息の止まるようなニュースだったろう。極めて多くのJavaアプリケーションに使われているライブラリ「Apache Log4j」に、リモートで任意のコードが実行される脆弱性がみつかった。悪用が簡単であることから、セキュリティ専門家らは深刻な事態として対応を呼び掛けている。実にやっかいな問題のようだ。

「今年最悪のサイバーセキュリティ惨事」

　「Apache Log4j」は、セキュリティ情報やパフォーマンス情報を記録するロギングのライブラリだ。多くのフレームワークやコンポーネントに含まれているため、開発者が意識していなくともサーバー内に存在しているという。

　そのLog4Shellに「バージョン2.0-beta9から2.14.1に存在する重要なリモートコード実行（RCE）の脆弱性（CVE-2021-44228）」が見つかった。通称「Log4Shell」脆弱性と名付けられた。「認証されていないユーザーによるコードのリモート実行を可能にする」もので、CVSS（共通脆弱性評価システム）のリスクスコアが最大の「10」という危険な存在だ。

　Log4Shell脆弱性が明らかになったのは12月9日だった。Alibaba CloudのChen Zhaojun氏が報告したことからで、まず「Minecraft」や「iCloud」、ゲームプラットフォームの「Steam」などの名が侵害を受けうる例として挙がったが、影響はもっと広範囲であることがわかってきた。

　何より問題なのは、セキュリティ専門家が「ユビキタス」と呼ぶほどの数の多さだ。Log4jは、過去20年間に作られた無数のアプリケーションに使用されているのだという。

　DHS（米国土安全保障省）のCISA（Cybersecurity and Infrastructure Security Agency）は12月11日、「Log4Shell脆弱性は、攻撃者によって広く悪用されており、その使用状況からネットワーク防御者にとって緊急の課題となっている」との声明を出した。

　企業・組織は、まず自社のシステムを調査して、Log4Shellが含まれているかを確認しなければならない。これはサーバーを構えているほぼ全ての企業で求められるという。CISAは専用サイトを開設して、対応を呼び掛けている。

　CISAのJen Easterly長官は、自身のキャリアの中で「最も深刻なものの一つ」と述べ、メディアでも「インターネットのメルトダウン」「今年最悪のサイバーセキュリティ惨事」などの表現で、その危険性を伝えている。

　Apache Software Foundationは10日にLog4jのアップデートをリリースし、その後も更新している。AppleやCiscoなど脆弱性の影響を受けるユーザーもそれぞれ対応している。だが、それで「一件落着」とはいかないようだ。