「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた：ヤマーとマツの、ねえこれ知ってる？（1/3 ページ）

[松尾公也, 山川晶之, 井上輝一，ITmedia]

　経歴だけは長いベテラン記者・編集者の松尾（マツ）と、テック系編集部を渡り歩いてきた山川（ヤマー）が、ネット／テクノロジー用語で知らないことをお互い聞きあったり調べたりしながら成長していくコーナー。交代で執筆します。

ヤマー　「Log4j」関連、かなーり話題になってますね……。

マツ　うちが取り上げたタイミング、結構早かったんだよね。

ヤマー　10日の夕方に初報を出してますね。そのあと関連記事もいくつか出てます。

マツ　そこで今回、この情報をいち早く見つけたNEWS編集部の敏腕副編集長、キーチさんを呼び出して、この問題について根掘り葉掘り聞いてみようと思ってて。

キーチ　いきなりハードルが高い。

ヤマー　お、うわさをすればキーチさん登場。

マツ　じゃあ、聞きまくりますか。

ヤマー　キャッチアップ結構早かったと思うんですけど、いつ気づいたんですか？

キーチ　確か午後3時くらいにTLを見たら、ITエンジニアたちがざわついていて。内容見てみたら「これはあかんやつや」とすぐに感じましたね。

ヤマー　お恥ずかしながら、最初ピンとこなかったんですよね。脆弱性のヤバさに（あとでCVSSスコアが満点の10.0と知ってビックリしましたが……）。

マツ　脆弱性を突くとか、そういうことをしなくても、ただチャットに書き込みだけで悪用できるとか。

　記事タイトルにもそのヤバさが出てましたね。

• 「やばすぎる」　Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か

キーチ　端的に言うとそういうことなんですけど、確かに初見で影響範囲まで想像するのはプログラミング経験がないとちょっと難しいかも。

ヤマー　キーチさんJava開発のバックグラウンドがあるんでしたっけ。

キーチ　一応「Androidって面白いじゃん！」から業界に入ったような人間なので、Androidアプリはいくつか作ってきたんですよ。主にTwitterクライアント系のごみみたいなアプリでしたけど（笑）。

マツ　開発環境はJava互換でしたよね。

キーチ　互換というか“Javaっぽい何か”ですね。JavaはJava仮想マシン上でプログラムを動かしますが、Androidは「Android Runtime」（Android 5.0以降、それ以前はDalvik）という仮想マシンを使うので、「Javaと同じ文法で動くプログラム」……みたいな。まあ本筋ではない話なんですが。

　あとは、研究室で「ImageJ」という画像処理ソフトのプラグインを作るのにJavaを使ってました。

マツ　で、Log4jのjというのはJavaのことで、Javaのためのロギングツールであると。

ヤマー　かなりメジャーなロギングツールみたいですね。正確には「Log4j 2」でしたっけ。

マツ　ということは、Javaプログラム全般でログを取るためのものだから、Javaが動いているデバイスの数を考えると目もくらむ感じになるという。

キーチ　Androidアプリ開発でLog4jを使うシーンがなかったので、自分もLog4j自体に詳しいわけではないんですが、当時のエンジニアたちのツイートを見ていた限りでは、「サーバサイドのJava開発で相当使われている」ということだったんですよね。

　これがやばいと感じたポイント。

マツ　実は今日、シリコンバレーのエンジニアと話してたんですけど、「俺、フロントエンドエンジニアでよかったよ」って言ってました。

ヤマー　金曜の午後から夕方にかけて話題になったこともあって、週末対応や週明け対応に明け暮れるサーバサイドエンジニアの方も多かったでしょうね。