現在、どこでも話題になっているトピックが、 log4j です。発見されたセキュリティ ホールは「ソフトウェア界のフクシマ モーメント」などと呼ばれています。素人にとっては、このすべてが何の意味も持たないことはほとんどありません。ただし、あなたも影響を受ける可能性があります。 log4j または Log4Shell とは何なのか、そしてそこで何が起こったのかについて説明します。
log4jの簡単な説明
Java では、log4j フレームワークを使用してアプリケーションのログインを記録します。別の言い方をすると、log4j は、特定のページにアクセスしたりログインしたりするタイミングを決定する一種のバウンサーです。これにより、記録を残すことが比較的容易になります。そして、log4j が非常にシンプルであるからこそ、このフレームワークはここ数年で事実上の標準にまで発展しました。
log4j は信頼できる先駆者とみなされていますが、このバウンサーも完全に完璧というわけではありません。論理的: 誰もが多少なりとも汚れを抱えています。しかし、正確には何が問題なのでしょうか?
フレームワークがログインをログに記録すると、ログ ライブラリに「記録」されます。たとえば、ユーザー名に読み取り可能なコマンドが含まれている場合、問題が発生します。したがって、ユーザー名が「Philipp」ではなく、「$ruf_den_server_auf_auf_dem_mein_böser_code_LIE_und_führung_ihn_aus」のようなものである場合 (非常に単純化されています)、すぐに log4j が危険にさらされてしまいます。
何が間違っていたのでしょうか?
通常、ロギング ツールはこのような攻撃に対処できるはずです。セキュリティ侵害のニュースが広まると、パニックはさらに大きくなったように見えました。連邦情報セキュリティ局 (BSI) は、この問題について次のように説明しています。
「ロギング ライブラリは、アプリケーションからのログ データを高パフォーマンスで集約するために使用されます。公開された脆弱性により、バージョン 2.10 以降の攻撃者はターゲット システム上で独自のプログラム コードを実行することができ、ターゲット システムが侵害される可能性があります。」
連邦情報セキュリティ局
Log4Shell の脆弱性は、追加のマルウェアをリロードするだけでなく、機密データを抜き出すためにも悪用される可能性があります。これには外部マルウェアをリロードする必要さえなく、「この悪用は(単純な)リクエストで実行できる」。
出典: 独自の調査。連邦情報セキュリティ局