「Apache Log4j」の脆弱性が世の中を騒がせ続けている中、サイバーセキュリティの専門家らは今後の成り行きについてさまざまな意見を有している。
VMwareでサイバーセキュリティ戦略を率いるTom Kellermann氏によると、Log4jの脆弱性は同氏が見てきた中で最悪の部類に入るとともに、過去に公になった脆弱性の中で最大級のものだという。
Apache Software Foundationによって開発されたLog4jは、アプリケーションの実行中に発生したイベントメッセージをログに記録する、Javaで記述されたライブラリーだ。Kellermann氏はApacheのことを「世界のアプリケーションとコンピュート環境の間をつなぐ橋を支える大きな柱の1つ」と形容した上で、Log4jを標的にするエクスプロイテーションは「その柱を不安定なものにし(中略)柱の上に構築されているデジタルインフラすべてを根底から揺さぶるものだ」と述べた。
しかし、同氏が抱いている最大の懸念は、誰かがこの脆弱性を悪用したワームを作り出し、高性能な武器にしてしまうというものだ。ワームとは、Kellermann氏の言葉を借りると本質的に自らで拡散していく多態性を有したマルウェアだ。
Kellermann氏は米ZDNetに対して、「2000年代の初頭において世の中を最も騒がせたワームの1つが『Code Red』だ」と述べ、「あの時以来、世界規模で影響を与えたものは見かけていない。今回の脆弱性がどこかのサイバーコミュニティーで武器化された場合、それが諜報機関であるか、サイバー界の4大ハッキンググループのいずれかであるか、サイバー犯罪カルテルであるかにかかわらず、事態はより目を離せないものになるだろう」と続けた。
サイバーセキュリティのコミュニティーでは、ワームの可能性に関するさまざまな議論が持ち上がっている。サイバーセキュリティの専門家であるMarcus Hutchins氏は、Twitterの複数のスレッドでワームの恐怖が「強調されすぎている」と主張している。
Hutchins氏はTwitter上で「第1に、既に大々的なエクスプロイテーション手法が存在している(1台のサーバーからインターネット全体に拡散させることができる)。第2に、ワームの開発には時間とスキルが必要だが、ほとんどの攻撃者は(パッチや他の攻撃者に先駆けようとしているという点で)時間との戦いを続けている」とツイートしている。
また同氏は、「ワームが検出の網の目をかいくぐって目的を果たすには、新たなエクスプロイテーションテクニックが必要となる」ともツイートしている。
さらに同氏は別のツイートで、2017年の「WannaCry」ランサムウェア攻撃によって「ワームの脅威が過剰なまでに人々の記憶に植え付けられた」とした上で、「ほとんどのエクスプロイトと比べてみても、(ワームは)最悪のシナリオではない(さらに言えば、他のエクスプロイトよりもひどいというわけではない)」と述べている。
