「Log4shell」は何故これだけ騒がれたのか 知らぬ間に使っているOSS

システムのログを記録するためのソフトウェアパーツ「Apache Log4j」（以下、Log4j）に見つかった脆弱性。Log4jはオープンソースソフトウェア(OSS)として提供されており、Javaという広く利用されている言語で開発されている。

本脆弱性が深刻にとらえられた理由は３つある。「脆弱性スコアCVSSが最大だった」「広く利用されているOSSだった」「脆弱性の悪用（＝攻撃）が容易だった」の３つである。それぞれ以下に解説する。

• （１）脆弱性スコアCVSSが最大だった

  ソフトウェアの脆弱性は共通脆弱性評価システム CVSS(Common Vulnerability Scoring System)というもので評価される。本件はCVSSスコアの基準値が10.0と最大だったことが注目された１つの要因だろう。ただし、スコアが最大だからといって全組織に影響があるとは限らないため、スコアだけで短絡的に騒ぐのは正しくない。その意味で、より本質的には次の２つが重要だ。

• （２）広く利用されているOSSだった

  前述したとおりLog4jはJavaという広く利用されている言語で開発されており、Webサーバーとして広く利用されているOSSに標準で組み込まれていた。システムというものは基本的にログを出力するものだということと合わせて考えると、影響の広さがうかがい知れるのではないか。事実、Log4shellは非常に多くのソフトウェアで影響があった。

• （３）脆弱性の悪用（＝攻撃）が容易だった

  本脆弱性は、取り込まれたログに特定の文字列があると、攻撃者が望む通りのプログラムをシステム内で実行できてしまうというものだった。CVSSスコアの評価基準の中にも、どれだけ簡単に悪用できてしまうかという項目は入っているが、現実には、「そのシステムはインターネットに接していないので、そもそも攻撃が成立しない」ということはよくある。しかし本件の場合、「ログを取り込まない」ということはあり得ないので、脆弱性のあるLog4jを使っていることが、すなわち悪用できてしまう状態という事ができた。実際にはもう少し複雑な話であることが分かってくるのだが、少なくとも脆弱性そのものを確認した段階では、「これはまずい」と判断できるものだった。発覚直後から、本脆弱性を狙った無差別の攻撃がインターネット上で多数観測されたことも攻撃が容易であることを裏付けている。

ソフトウェア脆弱性の対応は、基本的には修正したバージョンに更新するか、影響を受けないソフトウェアに変更・削除することになる。今回、修正バージョンは公開されていたものの、影響を受けるシステムの特定に苦労したという声をよく聞く。これは１つには脆弱性情報が錯綜し、どのバージョンが影響を受けるのか判然としなかったためだ。この問題は現状では解決済と言えるだろう。

そしてもう１つ、Lo4jを使っているのかすぐに分からないということが大きな要因だった。自社やベンダー自身が構築したシステムならまだしも、システム内で使っているOSSやソフトウェア製品で実はLog4jを使っていたケースがあるためだ。つまり、影響範囲を自社で調べきれないのである。これは今後も潜在的にくすぶり続ける問題になるかもしれない。

ここまで深刻なLog4shellだが、実はそこまで被害事例は多くない。発覚していないだけという可能性もあるが、他の事例と比較しても現時点で実被害が少ないのは事実だろう。もちろん事例がゼロということはなく、ベトナムの暗号資産交換所が被害にあったり、国内でも複数の事例が報道されたりしている。事例の多くが、ランサムウェア（身代金ウイルス）に感染し、システム内のデータを盗まれ、暗号化されて脅迫されるような被害にあっていると推察される。