Log4Jの貧弱性

Pocket

Log4J貧弱性が話題になっています。この貧弱性がランサムウェアに使われるとか・・。

恐らくまだ若くこれからコンピュータ系の仕事をしていくのであればWindows、Linuxは必須だと思います。Linux開発する上でJavaが必須なのかどうかわかりません。最近はPythonが流行りらしいです。Pythonのメリットはどのライブラリーでも使えるという事にあるようです。

私はコンピュータ関係の仕事をする上でなんらかのコードが書けないものを「資格なし」と呼んでいます。基礎はコードです。コードを書く上でライブラリーは重要なものでWindowsであれば.Net FremeWorkがあり、最近では.Net6です。Java系は書いた事がありませんが、C#とJavaはほとんど同じだという事は知っています。C#が書けるのでJavaも書けると思います。一番面倒なのはライブラリーです。
ライブラリーには癖があり、Windowsであればさほどライブラリーがないのでいいのですが、LinuxだとWEB系はAライブラリー、クラサバ系はBライブラリーとなっているのかもしれません。なにせライブラリーの癖を知る事は重要です。

最近Log4JというJavaライブラリーの一部で貧弱性が話題になっています。WindowsであればWindowsUpdateを実行して対応などという方法があります。それだけではすまないものもあるかもしれませんが、ほとんどそれで対応できます。

Log4Jは緊急度の高い貧弱性です。どうやってパッチ適応するかYouTubeで見てみました。少し冒頭見て、飛ばしながら見ていましたがさほど簡単ではありません。パッチ適応というより、回避方法を説明しています。こんな対応を無料で対応してくれるソフトウエアー会社はないでしょう。

Log4JはApache(オープンソースのWEBエンジン)のライブラリーで使われているらしいです。Apacheをコピーし別名で有償にしたもの数点知っていますが、それらも同様の貧弱性があります。WEB以外にこのライブラリーが使われているかはわかりません。
私は純粋なマイクロソフト製のプロダクトしか使いません。理由は単純です。全てマイクロソフトに依存すれば私もユーザも楽なのです。
WindowsでApacheを使っていれば同じリスクがあります。AppleのiClouldとマイクロソフトが買収したマインクラフトというゲームでもApacheが使われている事を初めて知りました。

セキュリティ、個人情報とかの言葉が好きな日本人ですが、重要で肝心な事はしません。Log4J対策にソフトウエアー屋に金払ってやってもらうにしても相当時間がかかると思います。トラブルが発生するかもしれない前提で適応しなければならないと思います。テスト環境つくって・・なんちゃらで相当時間がかかります。そしてお得意にテスト環境では正しくパッチ適応できたが、本番環境でミスしたなども多発する事でしょう。

ライブラリーをオープンソースで今なお修正作業をしている方がツイートしていました。

 

 

 

 

 

 

 

 

Log4J問題がオープンソースの考え方を変えるかもしれません。Log4Jに関する作者側の言い分もいろいろネットにあります。私の興味は利用者側ではなく作者側にあります。今回の問題は作者側ではなく使ったベンダー、またそれを名前を変え有償で売っている大手IT企業です

オープンソースを有償化しているRedHatとかも、Log4Jに関する記事を見ましたが、ただ書かれているだけという感じで何がなんだかわかりません。ひどいものです。その他日本の大手IT企業もオープンソースを有償化して販売しています。満足に対応などしない事でしょう。これらの企業はオープンソース団体?に金を払っているのかと毎回思います。

バグのないソフトウエアーなどありません。Apacheコードを書いていいる人も言っていますが、下位バージョン互換性など考えれば貧弱性を考慮する事などほぼ不可能でしょう。今回の問題で多額の賠償責任が発生すれば、それを担保するのはITベンダー、販売業者である事は間違いないでしょう。

日本では恐らくLog4jの問題は数多く放置される事になると想像します。今の世界で一番ホットな話題はハッキング対策です。その他はさほど取り上げられるものではないようです。

今年最後の投稿だと思います。偏見に満ちた私の自由気ままな投稿を読んでいただきありがとうございます。来年も勝手気まま書きます。

342233222322222222322222222222222222

コメントを残す

メールアドレスが公開されることはありません。

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)