「OSS-Fuzz」、「Log4Shell」脆弱性の検出が可能に--グーグルのファジングサービス

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2021-12-24 10:22

 「Log4j」(広範に展開されている「Java」のエラーログライブラリー)には、リモートで悪用可能な脆弱性が存在し、複数のアクターによって攻撃されている。この状況は何カ月も続く可能性があり、さまざまなオープンソースプロジェクトや製品ベンダー、エンドユーザー組織が、影響を受けるシステムへのパッチの適用を進めている。

 インターネットに広がるLog4jの脆弱性(「Log4Shell」とも呼ばれる)については、さまざまな解決策が提供されているが、今回、Googleの「OSS-Fuzz」がその仲間入りを果たした。Log4jの脆弱性は、「CVE 2021-44228」として追跡されており、Apache Software Foundation(ASF)が2週間前にリリースしたLog4jのバージョン2.15.0で部分的に修正された

 OSS-Fuzzは、オープンソースソフトウェアプロジェクトをファジングするGoogleの無料サービスであり、現在、500以上の重要なプロジェクトで使用されている。ファジングでは、ソフトウェアにランダムなコードを大量に入力して、クラッシュなどのエラーを発生させ、潜在的なセキュリティ脆弱性がないか確認する。

 新しく構築されたオープンソースソフトウェアでLog4Shellの脆弱性を探すため、Googleはセキュリティ企業のCode Intelligenceと提携して、Log4jを発見する継続的なファジングを提供している。

 Code Intelligenceは「Jazzer」の開発元だ。Jazzerは、現在OSS-Fuzzの一部になっているオープンソースのファジングエンジンで、開発中のコードに含まれるLog4jの脆弱性を発見できるように修正されている。Googleは、Log4jファジングに関するCode Intelligenceの功績を認めて、2万5000ドルを授与した。

 Code Intelligenceはプレスリリースで、「JazzerはOSS-Fuzzの一部なので、現在、Javaやそのほかの『Java Virtual Machine』(JVM)ベースの言語で記述されたすべての統合オープンソースプロジェクトを継続的に調べて、同様の脆弱性がないか確認している」と述べた。

 Jazzerは、リモートJNDIルックアップを検出することもできる。これは、潜在的な攻撃者が脆弱性を見つけるためにネットワークをスキャンしていることを示す強力な兆候だ。

 「Java Naming and Directory Interface」(JNDI)は「Lightweight Directory Access Protocol(LDAP)サーバーのディレクトリーに接続するためのインターフェースであり、Log4jの脆弱性はJNDIの実装に含まれる。

 GoogleのオープンソースセキュリティチームのJonathan Metzman氏は、「Log4Shellのような脆弱性は、新しい攻撃経路という点において、業界の目を開かせるものだ。OSS-FuzzとJazzerによって、このクラスの脆弱性の検出が可能になったので、脆弱性が本番コードで問題になる前に修正することができる」と話している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]