Couverture de 【歴史解説】世界を揺るがしたLog4Shell事件

【歴史解説】世界を揺るがしたLog4Shell事件

【歴史解説】世界を揺るがしたLog4Shell事件

Écouter gratuitement

Voir les détails

À propos de ce contenu audio

 ■ 今日の歴史解説 今日は、2021年の年末に世界中のITエンジニアを震撼させた脆弱性「Log4Shell(ログフォーシェル)」の事件を振り返ります。 ▼ 事件の概要 2021年12月、Java言語で開発されたアプリケーションにおいて、ログを出力するための標準的なライブラリ「Apache Log4j」に、極めて重大な脆弱性(CVE-2021-44228)が発見されました。 この脆弱性の深刻度を示すCVSSスコアは、10段階中で最高水準の「10.0(緊急)」。認証をすり抜けて、攻撃者が遠隔からサーバーを乗っ取ることができる「リモートコード実行(RCE)」の脆弱性でした。 Apple、Amazon、Twitterなどの巨大IT企業も影響を受け、世界中のサーバー管理者が週末を返上して対応に追われました。 ▼ なぜ起きたのか(技術的背景) 原因は、Log4jに組み込まれていた「JNDIルックアップ」という機能にありました。これは、ログに出力されるテキストの中に特定の文字列が含まれていた場合、外部のサーバーに問い合わせて情報を取得し、ログに展開する機能です。 攻撃者は、Webサイトの入力フォームや通信ヘッダーの中に、悪意のあるサーバーへ誘導する特殊な命令文を仕込みました。 システムがそれを「単なるログの記録」として保存しようとすると、Log4jが自動的にその命令文を読み解き、攻撃者の用意したプログラムをダウンロードして実行してしまうという仕組みでした。入力欄に文字列を打ち込むだけで攻撃が成立する、非常に恐ろしい仕様の穴でした。 ▼ 企業への影響と混乱 この事件が厄介だったのは「間接的な依存関係」です。 自分たちで直接Log4jをインストールした覚えがなくても、自社で使っている別のソフトウェアやライブラリが、その裏側で密かにLog4jを使っているケースが多発しました。 そのため、「自社のシステムに脆弱性が潜んでいるかどうかの調査」自体が極めて困難を極めたのです。 ▼ 今のエンジニアが学ぶべき教訓 この歴史的インシデントから、私たちが今の業務に活かせる教訓は以下の3つです。 (1) ソフトウェア部品表(SBOM)の導入 自分たちが開発・運用しているシステムが、どのような外部ライブラリの組み合わせでできているのかを一覧化し、常に把握しておくことが重要です。いざという時の初動スピードが全く変わります。 (2) 外部入力値の無条件な信頼をしない ユーザーが入力したテキストや通信データをそのままログに出力する行為にはリスクが伴います。入力されたデータを評価・実行しないような安全な設定や無害化が必要です。 (3) アウトバウンド通信の制限(多層防御) サーバーが外部のインターネットへ勝手に通信できないようにネットワーク側で制限をかけておけば、今回のように外部から不正なプログラムをダウンロードさせられる被害を防ぐことができました。アプリケーション内部だけでなく、インフラ層も含めた防御が重要です。 #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
Les membres Amazon Prime bénéficient automatiquement de 2 livres audio offerts chez Audible.

Vous êtes membre Amazon Prime ?

Bénéficiez automatiquement de 2 livres audio offerts.
Bonne écoute !
    Aucun commentaire pour le moment