38
13

More than 1 year has passed since last update.

(初心者むけ)Log4jのゼロデイ脆弱性って何がヤバいの?

Last updated at Posted at 2021-12-10

2021/12/13追記

IPA(独立行政法人 情報処理推進機構)のサイトで本件の詳細が記載されました。
日本での、そして、日本語での、信頼性のおける団体の情報だと考えます。
サイトによると追記すべき事項は更新されるとのことで、最新状況はコチラをチェックいただければ。

前書き

さて、今日はアドベントカレンダーの枠が空いてるな。もったいない。何を書こうか?とネタを考えていた矢先、なにやら周りが騒がしい。
原因は、このニュース。
良く分からないから調べてみた&初心者でもわかるように書いてみようと思った話です。

Log4jとは?

前書きの記事には「Javaで使われるログ出力ライブラリ」と書いてある。
簡単にいうと、 アプリケーションにログ機能を組み込む際に使うOSSのツール かな?
OSSのツールで、世界中のWebサイトで使われているというから影響範囲が広いということか。

Wikiも貼っておこう。最新の状況が追記されるかもしれない。

何がヤバいの? どれくらいヤバいの?

この方のカイセツが一番分かりやすかった。あ、前書きの記事にもこの方が出ていた。

つまり、Webサイトなどで稼働するWebアプリの、ログを取るためのツールが、外部のユーザーからのデータ入力をトリガーにして、Webアプリの内部のサーバー上で不正なプログラムを実行されてサーバーが死亡するってことですかね。

もっと簡単にいうと、公開しているWebサーバーのサイトで、ユーザーが悪意のあるデータを入力すると、そのサーバーが死亡する(=不能になる)ということ。
そして、ゼロデイ脆弱性ってことは、今、その脆弱性に対する対策パッチなどがまだ出来ていないっていうこと。

お、恐ろしい!!! 調べてみて、書いてみて、その恐ろしさが理解できました。

どれくらいヤバいの?

Red Hat社のサイトで

Critical impact
CVSS Score 9.8

だそうです。よくわからないですが、うん、「やばすぎる」ってことですね。

image.png

後書き

このニュースが金曜に出てくるのもなんかやらしいですね。各国の経営者・IT関係者たちはてんやわんやですね。早々の終息が望まれます。

もし今日から来週とかにかけて、あなたの会社の先輩や上司、もしくはIT関係の友人たちがカリカリしているのはこのせいかもしれません。

もしあなたが、私のように何もできない人であるならば、せめて、何が起きたのか理解して、そして対応に追われているひとたちが、早く問題解決できるように、邪魔をせず、そして、他の人にも邪魔をさせないように、あなたにできることをやりましょう。
たまにはネットから離れてアナログな生活を過ごすのも良いかもしれません。

以上、最後までお読みいただきありがとうございました。
余計なお世話かもしれない記事になってしまいました。不快な気持ちにさせてしまった方には申し訳ございません。

2021/12/12追記

@shun-g  さんが、より具体的に書いてくれているのを見つけました。うむ、分かりやすい。

38
13
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
38
13