Log4ShellがJavaソフトウェアの世界に深刻な脆弱性をもたらした
ある種のソフトウェアはどこにでもある。マイクロソフト・ウィンドウズは世界中の何百万台ものコンピューターに搭載されているし、グーグル・クロームは多くの人に好まれるデフォルトの検索エンジンだ。Javaプログラミング言語もそのようなデジタルツールのひとつで、モバイルソフトウェアからウェブベースのアプリケーション、さらには多くの企業が依存しているミドルウェアまで、あらゆるものに広く使われている。残念ながら、このユビキタスなソフトウェアが、場合によっては逆効果になることがあり、サイバーセキュリティもそのひとつだ。Java開発者のお気に入りであるLog4Jロギング・ユーティリティに重大な脆弱性が発見された。
Log4Jとは?
Log4Jユーティリティは、Javaソフトウェアの世界で最も人気のある開発者ツールの1つです。これはJavaベースのオープンソースのロギング・ユーティリティである。これは、開発者がソフトウェアの欠陥を監視し、最終的に対処できるように、エラーのような「イベント」を追跡し、報告するようにプログラムすることができる。Log4Jユーティリティは、その手軽さと有用性から、膨大な種類のソフトウェア、特にこの組み込みソフトウェアが存在する何億ものモバイルデバイスに組み込まれている。
残念ながら、Log4Jユーティリティに脆弱性が発見され、Log4Jは非常にユビキタスであるため、深刻なサイバーセキュリティの脅威となっている。
サイバーセキュリティにおける重大な制御不能
Log4Shellの脆弱性は、一般的な脆弱性スコアとして、脅威の観点から最も深刻な指定である10が与えられている。このサイバーセキュリティの脆弱性を悪用した具体的な例としては、DDOS攻撃、リモートからのアプリケーションの奪取・制御・実行、企業ネットワークへのアクセスを犯罪者の最高入札者に競売にかけること、さらには暗号通貨のマイニングのためにネットワーク内のデジタルリソースを分割することなどが挙げられる。
なぜ起こるのか
Log4Shellの脆弱性は、コストと安全性の間の闘いの最新の例である。ソフトウェアにおける最もコスト効率の良いアプローチは、社内で独自のオーダーメイド・ソリューションを作るよりも、既存のリソース、時には古いものでさえも利用することだ。しかし、これによってコストが下がる一方で、古いアプリケーションやプロセスは、最新のアプリケーションやツールに比べて脆弱になりがちである。どの企業も、セキュリティにどれだけのコストをかけるべきか、頭を悩ませている。
現在、企業はこの脆弱性を特定し、対処し、パッチを当てるために奔走しているが、これは最新のセキュリティ対策を維持する継続的な必要性を示しています。新しいソフトウェア、新しいアップグレード、そしてパスワードを不要とするIDや認証のような新しいユーザー・コントロール・システムは、最新のパスキーがフィッシングに強く、ユーザー中心のセキュリティを提供するため、重大な脆弱性が発見され、悪用される可能性を減らすことができます。
FIDOプロトコルを使用し、パスワードレスのIDおよび認証システムに移行することに興味がある方は、こちらをお読みください。