「Log4j」(広範に展開されている「Java」のエラーログライブラリー)には、リモートで悪用可能な脆弱性が存在し、複数のアクターによって攻撃されている。この状況は何カ月も続く可能性があり、さまざまなオープンソースプロジェクトや製品ベンダー、エンドユーザー組織が、影響を受けるシステムへのパッチの適用を進めている。
インターネットに広がるLog4jの脆弱性(「Log4Shell」とも呼ばれる)については、さまざまな解決策が提供されているが、今回、Googleの「OSS-Fuzz」がその仲間入りを果たした。Log4jの脆弱性は、「CVE 2021-44228」として追跡されており、Apache Software Foundation(ASF)が2週間前にリリースしたLog4jのバージョン2.15.0で部分的に修正された。
OSS-Fuzzは、オープンソースソフトウェアプロジェクトをファジングするGoogleの無料サービスであり、現在、500以上の重要なプロジェクトで使用されている。ファジングでは、ソフトウェアにランダムなコードを大量に入力して、クラッシュなどのエラーを発生させ、潜在的なセキュリティ脆弱性がないか確認する。
新しく構築されたオープンソースソフトウェアでLog4Shellの脆弱性を探すため、Googleはセキュリティ企業のCode Intelligenceと提携して、Log4jを発見する継続的なファジングを提供している。
Code Intelligenceは「Jazzer」の開発元だ。Jazzerは、現在OSS-Fuzzの一部になっているオープンソースのファジングエンジンで、開発中のコードに含まれるLog4jの脆弱性を発見できるように修正されている。Googleは、Log4jファジングに関するCode Intelligenceの功績を認めて、2万5000ドルを授与した。
Code Intelligenceはプレスリリースで、「JazzerはOSS-Fuzzの一部なので、現在、Javaやそのほかの『Java Virtual Machine』(JVM)ベースの言語で記述されたすべての統合オープンソースプロジェクトを継続的に調べて、同様の脆弱性がないか確認している」と述べた。
Jazzerは、リモートJNDIルックアップを検出することもできる。これは、潜在的な攻撃者が脆弱性を見つけるためにネットワークをスキャンしていることを示す強力な兆候だ。
「Java Naming and Directory Interface」(JNDI)は「Lightweight Directory Access Protocol(LDAP)サーバーのディレクトリーに接続するためのインターフェースであり、Log4jの脆弱性はJNDIの実装に含まれる。
GoogleのオープンソースセキュリティチームのJonathan Metzman氏は、「Log4Shellのような脆弱性は、新しい攻撃経路という点において、業界の目を開かせるものだ。OSS-FuzzとJazzerによって、このクラスの脆弱性の検出が可能になったので、脆弱性が本番コードで問題になる前に修正することができる」と話している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。