誰も気にしない「インターネットの黙示録」

今後数ヶ月間、専門家を忙しくさせる未曾有の歴史的な出来事。この情報は、主要なメディアや一般の人々には伝わっていない。

f:id:pepie17:20220130153626p:plain

【フリーウエストメディア】2022年1月29日


Log4j」は、開発者サークル以外には知られていません。

そして、このコンピュータコードの一部を使用している多くの人は、その脆弱性にさえ気づいていません。

PC、スマートフォン、ゲーム機、インターネットに接続できるもの全般にとって、年間10億件ものダウンロードがあり、世界で最も利用されているプログラムの一つです。

その重大性から、Log4j脆弱性には独自の名前が付けられています。それは「Log4Shell」と呼ばれています。

 

25年ほど前、現在は自身のソフトウェア・コンサルティング会社を経営するチェキ・ギュルキュ氏は、スイスのチューリッヒ近郊にあるIBMの研究所で暗号技術の修士論文を執筆しました。その後、IBMのデータ・セキュリティ・チームに就職しました。

 

彼が開発したソフトウェアは、ソフトウェアを使ったときに起こることを書き留めるもので、Log4jのバージョン1が作られました。

チェキ・ギュルキュ氏は、パイロットの会話、速度、高度、そして飛行を監視し制御するためにプログラムされたすべての技術的側面を記録する飛行機のブラックボックスを例にとって、Log4jの機能を説明しました。

 

Log4jのソフトウェアは、オープンソース、つまり一般に無料で公開されているソフトウェアです。このようなソフトウェアは、その透明性から、一般的に安全であるという評価を受けています。多くの人の目によって、問題が認識され、解決されることが前提となっています。

 

2000年、このプログラムは正式にアパッチオープンソース財団に引き渡されました。

この非営利の財団は、ボランティアの開発者と貢献者によって構成されている。2006年、チェキ・ギュルキュはプロジェクトを離れ、SLF4JやLogBackなど、今日よく知られ人気のあるソフトウェアを独自に開発しました。

 

2012年、アパッチ・ファンデーションはLog4j Version 2という名前で全面改訂を開始し、特殊な機能が導入されました。

Log4j 2は、外部プログラムの内容を分析・解釈した上で、その内容がさらに利用されるようになります。

そして、まさにここに、1ヶ月以上前に脆弱性が発見されたのです。

攻撃者は、Log4jが誤って受け入れるように特別に細工されたファイルを提出することができます。これは、外部からのあらゆるコードが実行される可能性があることを意味します。もう一つの方法は、感染したコンピュータを単にフリーズさせ、身代金を要求することです。

この脆弱性の発見は、まるでスリラー小説のような展開でした。この脆弱性を発見したのは、アリババ・クラウド・セキュリティチームのメンバーであるチェン・ハオジュンです。

彼はアパッチ・ファンデーションに報告し、彼らとともに2021年12月9日に脆弱性を公開し、開発者に問題を修正する十分な時間を与えました。

公開直前に中国のブログプラットフォームでリークされた後、脆弱性の詳細について議論が交わされました。ハッカーたちは待つことなく、発見から数日後に最初の攻撃が観測されました。

 

■■ 最大限の被害

NASATwitterOracleAppleなどの巨大企業は、Log4j脆弱性が存在するプログラムを使用していることが知られています。

例えば、Apple社のオンラインストレージサービスであるiCloudは、この脆弱性を経由してハッキングされた可能性があります。

また、NASAが火星に送った小型ヘリコプターも、地球からの通信に使用されているプログラムの一部がLog4jをベースにしているため、理論的には脆弱性が存在することになります。

 

また、中小企業や政府機関、さらには自宅にプライベートサーバーを持つ個人も影響を受けており、その隙の大きさが判明するまでには時間がかかると思われます。

 

さらに、ベルギー国防省がLog4Shell攻撃の最初の被害者として知られていることが明らかになっています。

カナダでは政府系サーバーの予防的シャットダウン、ドイツでは巨大企業ボッシュがコネクテッドオブジェクトの製造も行っており、影響を受けたことを認めましたが、詳細は明らかにせず、壮大な予防措置が取られました。

 

実は、この脆弱性はずっと以前からハッカーによって発見され、誰にも気づかれずに悪用されていた可能性があります。

思い起こせば、バージョン2がリリースされたのは2012年。したがって、犯罪者が悪意のあるプログラムをコンピュータシステムに密輸した可能性もないわけではありません。

 

一部の行為者にとって、機密情報へのアクセスは、対価を得ることよりも魅力的なことなのです。

今回の攻撃の第一波は、より大規模な攻撃の津波の前の最初の地震に過ぎないと懸念されています。

 

■■ デジタルの未来はどのようなものであるべきか?
実は、今日の社会も政府も、加速するデジタル化に対して準備ができていません。

政府が電子投票や医療データの自動交換を推し進める前に、社会はどのような未来を望んでいるのかを議論すべきです。

これには、法的側面、セキュリティとデータ保護、インフラ、オープンソース、監視、我々のデータに対する主権、民主主義、文化、著作権に関する公開討論が含まれます。

 

そしてもちろん、検閲も議論に含まれなければなりません。

そして、移行は私たち全員に関わるものであり、私たちは緊急にデジタルに対する責任を負う必要があるため、一般市民の参加が必要なのです。

 

この「コンピュータの黙示録」は、私たちのデジタル世界の重要性に疑問を投げかけています。

技術的な対策だけでは十分ではないので、緊急時対応策を講じる必要があります。

国や企業は、より大規模なネットワーク障害が発生した場合でも、業務を継続できるように準備する必要があります。

さらに、危機管理通信のインフラも計画する必要があります。

 

各自が自分のコンピューターシステムのセキュリティに責任を持ち、ホームプライバシーの基本を知るようにします。

すべての機密データは、インターネットとは別の場所に保管すること。パスワードは定期的に変更し、無線LANのパスワードも変更し、あらゆるハードディスクにパスワードをインストールするようにします。