KL system

手遅れ過ぎた結果

by 唐草 [2021/12/20]

　先週、ネットワーク業界はてんやわんやの大騒ぎが起きていたらしい。log4jというJavaの定番ライブラリに致命的なバグが見つかったそうだ。それを使えば、任意のコードを自由に実行できてしまう。パスワードもファイアウォールも何の意味もない。攻撃者にコマンド入力画面を差し出してしまうような最悪の問題。システムを乗っ取ることもなくデータ削除も改ざんも思うがままという悪夢のような状況が存在しているということだ。
　近年稀に見る大問題だったのでIT系ニュースも大騒ぎだったし、SNSでも盛り上がっていたらしい。でも、どういう訳かぼくのところには何の情報も転がり込んでこなかった。セキュリティーの根幹が揺らぐようなことが起きているなんて露も知らず、のほほんと過ごしていた。
　ぼくがこの危機を知ったのは、対策方法が周知され世間のほとぼりが冷めてから。世間から3周ぐらい遅れていた。テレビで数週間前にバズった動画を紹介することがあるが、そんなコーナーのことをもう「遅れている」と笑えない。ぼくのネットの使い方は著しく偏っているのかもしれない。
　log4jは、ぼくが管理するシステムでも使用している。機材の関係でエラーを吐きまくっていてありとあらゆる場面でlog4jのエラーを目にしている。それでも止めると何が起こるかわからないので、エラーのまま動かし続けているという目の上のたんこぶのような存在。これが更なる問題を引き起こすとなったらもうお手上げ。対処するよりも辞表を提出して泥舟から脱出したほうがマシだ。
　辞表の書き方をググる前にlog4jのバージョンを確認した。今回の問題は、特定のバージョンでのみ起こるからだ。
　社内システムに導入されていたのは、ver1.2だった。問題を起こすver2系ではなかった。つまり、今回の問題とは無関係だということ。セーフ！
　でも、この状況を素直には喜べない。ver1系は数年前に開発終了しているので使用中止が勧告されている。目に見える爆弾と目に見えない爆弾のどちらを選ぶかという話でしか無い。いずれにせよ待っているのは死。
　泥舟が沈む前に脱出だ！

• <<前の記事を読む　
• 　次の記事を読む>>