「Log4j」脆弱性発見から1年　OSSセキュリティの努力は続く

ソフトウェアのサプライチェーン問題

　Googleのこのような取り組みが求められる背景には、複雑を極めるソフトウェアの現状がある。

　1つのソフトウェアを開発するために、開発者は複数のコンポーネントを用いる。その中に外部のソフトウェアライブラリが入っていることも多く、脆弱性の管理が難しくなっている。コンポーネントは相互に依存し合っていることから、脆弱性があるからといって、そのコンポーネントを単純に削除したり、取り換えるわけにはいかない。

　この問題は、そうした構成と特徴から、「ソフトウェアのサプライチェーン問題」と言われる。そして、その重要性を知らしめた例が、2021年12月に明らかになったLog4jの脆弱性問題だ。

　Log4jはJavaベースのロギングライブラリで、オープンソース団体Apache Software Foundation（ASF）のプロジェクトとして開発・メンテナンスされている。脆弱性があると、Log4jの参照機能などを利用して任意のコードを実行されるなどの可能性がある。ロギングという根本的な機能を利用する非常にやっかいな問題だ。

　Log4jの脆弱性（Log4Shell）は2021年11月、Alibaba Cloudのセキュリティ担当者が発見し、ASFに報告。ASFのLog4jプロジェクトは脆弱性を修正したバージョン（v2.15）を公開し、脆弱性情報を公開した。

　その後、追加で脆弱性が見つかり、その都度パッチを公開しアップデートを行った。しかし、販売や契約の記録がないオープンソースのソフトウェアでは完全に追跡できない。いまだに脆弱なままのシステムが残っていると言われている。

　ASFのDavid Nalleyプレジデントは「ソフトウェアがどこにあるのか、ソフトウェアが行っている全てのこと、誰が使っているのかを完全に把握するまでは十分に評価できない」と、Log4j問題1年の状況をレポートしたWiredにコメントしている。