昨日から今日に掛けて、ESOではAWS(アマゾンウェブサービス)の障害でログインの問題が出て、他のゲームも影響を受けているように見えていたけども、今朝、IT関係の記事を大きく賑わせていたのは、数日前からかなり深刻な話題として伝えられたJavaの"Log4j"の脆弱性の問題でした。既にゲーム関係もこの影響を受けているものがあります。
目次
Javaの"Log4j"の脆弱性の問題とは何なのか?
Javaと言うのは知っている人も多いと思うけども、プログラミング言語の1つで、今回問題になっている「Apache Log4j 」は、"Apache Software Foundation がオープンソースとして提供しているJavaを使用したロギングライブラリ"です。
既にIT大手をはじめ多くのニュースサイトでこの問題が警告されています。
- 「Apache Log4j」の脆弱性、影響は「計り知れない」--今知っておくべきこと(CNN)
- 「Apache Log4j」の脆弱性、今知っておきたいこと(ZDNet Japan)
- 世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説(ITmedia NEWS)
- 「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開(ITmedia NEWS)
これらの記事の見出しを見ているだけでも、この脆弱性の影響とその範囲の広さが恐ろしくなって来るけども、実はESOの英語公式フォーラムでもこの"Log4j"の脆弱性を危惧する声が大きくなっていて、この問題でどういう危険性があるか? と言えば、こちらのサイトを引用させて貰います。
Log4jは、ApacheのJavaベースのログ監査フレームワークです。Apache Log4j2 2.14.1 およびそれ以下のバージョンには、リモートコード実行の脆弱性があり、リモートの攻撃者はこの脆弱性を利用して脆弱なマシンを完全に制御することができます。(略)
この脆弱性は、log4jソフトウェアに特定の文字列を送信することで発生するため、悪用されやすく、また、このソフトウェアが広く利用されているため、攻撃経路も複数存在します。脆弱性の文字列を含むSSIDに接続すると、OSベンダーのサーバーにログが送信され、そのネットワークで脆弱性が誘発される例があります。 このため、しばらくはこのような問題が出てくることが予想されます。
恐ろしい事にこの危険レベルは満点の10と言う事で、個人のPC環境からもこの操作は可能と言う恐ろしさもあります。
しかし、これだけの危険な問題の為に多くの企業が既に対策に乗り出しているようで、今のところ被害は小康状態とも言われていて、とにかくソフトやアプリのアップデートが来たら、早急にアップデートする事が望ましいと思っています。そして、こういう脆弱性の問題が後を絶たない世の中だけに、この問題に限らず、アップデートの更新が長らく止まっているようなものは「使わない」「アンイストールする」が正しいと思っています。
"Log4j"の脆弱性のゲームへの影響
それで、ESOのゲーム本体はこの影響を受けてないけども、ESOのアドオン等がこれらの影響を受ける可能性について懸念をしているファンがESOの英語公式フォーラムにもいました。
マインクラフトでの大問題
と言うのは、自分は「マインクラフト」はプレイした事が無いけども、マインクラフトで拡張を自由にやりたいと思う場合、Javaと"Log4j"は必須のようで、既にマインクラフトでは攻撃を受けて、マイクロソフトもこの問題に既に取り組んでいる事が理由でした。以下がマインクラフトの公式ページの声明です。
既に大きなニュースになっている為、このゲームをプレイしている人は対策をしていると思いたいけども、マインクラフトの公式ページにはこの脆弱性に対応する為のアップデートの方法が紹介されています。
Javaを使用しているESOのアドオン管理ツール「Minion」はアップデートしましょう
それで、ESOの場合は、ゲーム本体はOKでもアドオン管理ツールの「Minion」がこの影響を受けるのではないか?と懸念している人も居て、実際、Minionは12月14日付けでアップデートが来ています。
実は自分の環境ではMinionを使用していない為、エアプでしか書けないけども、これは数年ぶりのアップデート(2018年以来)と言う話も英語公式フォーラムには書かれてあります。実際Minionの更新ログを見てみたところ、以下のようにありました。
[アップデート] ゼロデイエクスプロイトのため、log4jlibを2.6.2から2.16.0に更新しました - CVE-2021-44228
これは"Log4j"の脆弱性の問題対策の筈だし、Minionを使用している人は忘れずにアップデート(Version: 3.0.8 )した方が良いように思います。
ESO英語公式フォーラムのファンもMinionの更新をしているようで、確かにMinionの公式サイトのDLページにはJavaのDLのオプションまであったのはちょっとドキっとしましたw
それで、昨日(12/15)、ESOUIのMinionのフォーラムページでは、Minionは今のところ大丈夫であると書かれています。しかし、多分、これはアップデートした後の話と思っています。
sirinsidiator氏と言う多くのアドオンを作っている製作者が、Lunasecと言うセキュリティ会社のサイトの"Log4j"の脆弱性テストを行った結果、「脆弱ではない」と言う事のようでした。
Steamへの影響
そして、色々な記事が"Log4j"脆弱性がiCloudやsteamに影響している事を書いていて、もしこれらについて何かアップデートが来ていたらアップデートはした方が良いと思うし、しかし、Steam内のフォーラムを調べてみたところ、特定のゲームのスレッドには"Log4j"と言う単語があるものの、Steamのシステムとの関係は未だわかっていません。
それで、Lunasec社が紹介している現在影響を受けるシステムの纏め(多分現在わかる範囲)がGitHubの方にあります。
今わかる限りでは、ここにはSteamの名前は無いし、しかし、これを見てもこの問題が大変な大きな影響力になっている事がわかります。
余談: 自分の環境には既にJavaはとっくにありません!!
個人的に少し涼しい顔をしているのは、自分のPCにはJavaはとうに無くて(このPCを購入した時も最初から入れてない)、と言うのは、Javaと言うのは今までも色々な脆弱性が問題になって来て、それが嫌でJavaとは相当前に手を切っています。しかし、マインクラフトのJava版のようにJavaをインストールしてなくても使用できるもの(バンドル)とか言う形態もあるようで、Javaをインストールしてないから安全とも言い切れないように思っています。
その為、何度も書くけども、この問題では、何かソフトやアプリケーションのアップデートが来れば早急にアップデートした方がいいし、更新が止まっているような古いアプリやソフトを使用しない事も大事で、そういう見直しもしてみて下さい。
因みに管理人の環境には既に数年前からJavaは無い為、サイトにおいてもJavaを使用しているものは無いので、そこは安心して頂きたいと思っています。