「Log4j」脆弱性発見から1年　OSSセキュリティの努力は続く

ダウンロードの4分の1が、なお脆弱バージョン

　Log4jの問題の後、米国では政府機関が調達するソフトウェアについてのセキュリティ対策を義務付ける大統領令が出されるなど、対応策がとられている。

　しかし、Wiredのレポートからは、いまだにLog4jの脆弱性問題が終わっていないことが明らかだ。

　ApacheのリポジトリであるMaven Centralを運営するSonatypeのCEO、Brian Fox氏によると、この3カ月、脆弱なバージョンのLog4jのダウンロードはいまだに全体の25％を占めているという。

　ソフトウェア脆弱性は、犯罪者からスパイまで、あらゆるサイバー攻撃者に利用される。Security Boulevardによると、Log4jの脆弱性は、2020年以降に中国政府が支援するサイバーアクターが利用するCVE（共通脆弱性識別子）のトップだった。「Log4jは幅広く使用されていることから、実際にどのぐらい悪用されており、今後も継続して悪用が発生するのかを判断するのは困難」（Security Boulevard）という。

　SonatypeのFox氏は「私は業界で長く、この問題にうんざりもしている。だが、現実は実に衝撃的だ」と嘆息。脆弱性の開示から1年が経過してもまだ問題が続くことの唯一の説明は「人々がソフトウェアの中身を理解していないということ」と述べている。Log4j問題は一部にとっては、業界に対する注意喚起となったが、皆に行き渡ったわけではないという状態だ。

　このような「脆弱性のロングテール」にどのように対応すべきかがセキュリティ研究者の課題である、とWiredは指摘する。

　セキュリティ企業ChainguardのCEO、Dan Lorenc氏は「コミュニティの反応は良くなっているものの、オープンソースの開発ペースがそれを上回っている」と解説。セキュリティ問題の予防と対策のバランスを見いだし、頻度を減らす努力をする必要があると主張する。

　GoogleのOSVのような取り組みが、少しずつでも状況を改善することを期待したい。