史上最悪のセキュリティ欠陥
インターネットサーバーで広く使われているソフトウェアに致命的脆弱性が見つかり、
世界中のサイバーセキュリティ業界がひっくり返ったとAP通信が伝えた。
ゲームサーバーやクラウドサーバーを運営するIT企業はもちろん、ウェブサーバーを
運用する企業や政府機関までもがこのソフトウェアを活用しており、深刻なハッキング
リスクに晒される可能性がある。
問題となるのはオープンソースのロギングライブラリ「Log4j」。
※Javaプログラムで用いられるライブラリ。
ロギングとは、サーバーやプログラムのメンテナンスを目的として動作状態を記録する
ことを言うが、事実上ほぼ全てのサーバーがこのライブラリを使用するという。
今回の脆弱性を攻撃すると、ハッカーはパスワード無しでターゲットの権限を取得し、
データを盗んだり、削除したり、悪性プログラムを仕込んだりする可能性がある。
最初に問題が発見されたのは、オンラインゲーム「Minecraft」のJava版。
チャット欄に特定のコードを入力すると、ターゲットコンピューター上でリモート操作
によるプログラム実行が可能となる。
Minecraftを所有するMicrosoftはすぐさまアップデートを適用し対策に出た。
オープンソースプロジェクトを支援・管理するApache財団は、Log4j Shellの驚異水準を
最高の「10段階」に指定。
あるセキュリティ会社は「サーバー管理者はパッチ適用を急いでおり、ハッカー達は
今も脆弱性への攻撃を試みている」と明らかにした。
ハッカーが攻撃ツールの開発を終え、既に攻撃に入っているという意味だ。
別のセキュリティ会社は「最近10年間で最も致命的で巨大な脆弱性」だと指摘。
「既にサーバーが攻撃されたと仮定して行動しなければならない」と強調している。
専門家は、問題がMinecraftで最初に発見されただけで、今なお多くのサーバーが危険な
状態にあるという。
Apple・Amazon・Twitter・Cloudflareなど巨大IT企業もLog4jを利用している。
--------------------------------------------------------------------------------------------------
韓国に関連した記事ではありませんが、気になったので載せてみました。
まぁ専門的なことは全く分からないので、とりあえずJavaプログラムが含まれている
ネット上のサーバーがヤバいことになっているという理解でいいのかな?
クラウドサーバー、ウェブサーバー、ゲームサーバーなど、サーバーと名が付くもの
であれば要注意ということらしい。
日本語の記事もいくつか見つかるのですが、大騒ぎという程ではありませんね・・・。
エンドユーザーが気にかけておくことと言えば「今後は利用しているサービスの突発
メンテに注意しろ」くらいでしょうか。
後はクライアントソフトの緊急アップデートとか。
このまま何事もなく騒動が収束してくれるのを待つしかありません。
コメントにて記事の感想などをお聞かせ下さい!