我思う故に我あり

日常で感じたこと、考えたことを綴ります。

最悪のソフトウェアの弱点の1つを修正

それは、子供たちに人気のあるオンラインゲーム、マインクラフトに現れたそうです。

全く知らない分野はとても勉強になります。

れにしても”Log 4Shell"”log4j” ってなんでしょう???

う〜ん!!わからん!!

そこはさておき、今回もVOAで英語を学び、各分野の知識を深めましょう!!

 

 

 

 

 

 

技術系企業、危険なインターネット・ソフトウェアの修正にしのぎを削る(和訳)

Tech Companies Racing to Fix At-Risk Internet Software

learningenglish.voanews.com

 

世界中のコンピューター・セキュリティの専門家が、ここ数年で発見された中で最悪のソフトウェアの弱点の1つを修正しようとしています。

このvulnerability 脆弱性は、政府や産業界で広く使われているオープンソースのプログラムにあります。世界中の組織にとって大きな脅威となっています。

「今、インターネットは燃えている」とアダム・マイヤーズは言います。彼はサイバーセキュリティ企業Crowdstrikeクラウドストライクの副社長です。

この問題は、log4jと呼ばれるオープンソースのアパッチユーティリティで発見されました。これは、ウェブサイトやその他のウェブサービスを実行するために使用されます。この脆弱性は、"Log4Shell "として知られています。

このソフトウェアの問題の深刻度は、開発を統括するApache Software Foundationによって、1から10までのスケールで10と評価されました。

この脆弱性は、11月24日に中国のテクノロジー企業であるアリババから報告されました。パッチの開発には2週間を要しました。

先週、マイヤース氏は、問題の発見から12時間以内に "完全に武器化 "されたと述べています。犯罪者はすでにこの問題を悪用するためのツールを開発し、配布しているというのです。

専門家によると、このバグはソフトウェアの問題を表す別の言葉で、ここ数年で発見されたコンピューターの弱点の中で最悪のものであるかもしれないといいます。アパッチ・ソフトウェアは、産業界や政府機関のほとんどすべてのクラウド・コンピューティング・サーバーで使用されています。

このバグが修正されない限り、犯罪者は内部ネットワークに簡単にアクセスできるようになるります。そこでは、重要なデータを盗んだり、マルウェアを設置したり、より多くの損害を与えることができるのです。

ジョー・サリバン氏は、ウェブサイトをセキュリティの脅威から守るクラウドフレアのセキュリティ責任者です。

「リスクのない会社など考えられません 」と彼は言います。数百万台のサーバーにこのソフトウェアが搭載されており、専門家によれば、その影響は数日間はわからないといいます。

サイバーセキュリティ企業Tenableの代表であるアミット・ヨラン氏は、「このソフトは何百万台ものサーバーに搭載されており、その影響は数日間わからない」と述べています。彼はこれを”過去10年間で最大かつ最も重大な脆弱性”、”現代のコンピューティングの歴史に残るかもしれない”と呼んでいます。

専門家によれば、この脆弱性は攻撃者がウェブサーバーにアクセスすることを容易にし、非常に危険なものにしてしまいます。サーバーにアクセスするために必要なパスワードは求められません。

このバグを修正するのは難しい仕事になるかもしれません。ほとんどの組織やアマゾンのようなクラウドプロバイダーは、ウェブサーバーを簡単にアップデートできるはずです。しかし、同じアパッチソフトは多くのサードパーティーのプログラムでも使われており、その所有者でなければアップデートできないことが多いのです。

Tenable社のヨラン氏は、組織は影響を受けたと仮定して行動し、問題を修正する必要があると述べています。

このバグの悪用の最初の明確な兆候は、子供たちに人気のあるオンラインゲーム、Minecraftマインクラフトに現れました。攻撃者は、マインクラフトを所有するマイクロソフト社がこの問題を修正する前に、世界構築ゲームのサーバーの1つを乗っ取ることができたのです。

マイクロソフト社は、マインクラフトのユーザー向けにソフトウェアの更新を完了したと発表しました。同社は、「修正プログラムを適用した顧客は保護されています。」と述べています。

研究者によると、この脆弱性は、AppleAmazonTwitter、Cloudflareなどの企業が運営するサーバーでも悪用される可能性があるとのことです。

 

 

 

 

 

 

 

Tech Companies Racing to Fix At-Risk Internet Software
Lydia Winters shows off Microsoft's "Minecraft" built specifically for HoloLens at the Xbox E3 2015 briefing before Electronic Entertainment Expo, June 15, 2015, in Los Angeles. (AP Photo/Damian Dovarganes, File)

Computer security experts around the world are trying to fix one of the worst software weaknesses found in years.

The vulnerability is in an open-source program widely used by government and industry. It has become a major threat to organizations around the world.

“The internet’s on fire right now," said Adam Meyers. He is the vice president at the cybersecurity company Crowdstrike.

The problem is found in an open-source Apache utility called log4j. It is used to run websites and other web services. The vulnerability is known as “Log4Shell.”

The software problem's severity was rated 10 on a scale from one to 10 by the Apache Software Foundation, which oversees development of the software.

The vulnerability was reported on November 24 by the Chinese technology company Alibaba. It took two weeks to develop a patch.

Last week, Meyers said that within 12 hours of discovering the problem it had been "fully weaponized.” He said criminals have already developed and distributed tools to exploit it.

Experts say the bug, another word for a software problem, may be the worst computer weakness discovered in years. The Apache software is used in almost all cloud computing servers, across industry and government.

Unless it is fixed, the bug gives criminals the ability to easily access internal networks. There, they could steal important data, put malware in place, and do much more damage.

Joe Sullivan is the head of security for Cloudflare, a company that protects websites from security threats.

“I’d be hard-pressed to think of a company that’s not at risk,” he said. Millions of servers have the software, and experts said the impact would not be known for several days.

Amit Yoran is the head the cybersecurity company Tenable. He called it “the single biggest, most critical vulnerability of the last decade,” and maybe the history of modern computing.

Experts said the vulnerability makes it easy for an attacker to access a web server, and makes it very dangerous. There is no password required to access a server.

Patching the bug could be a difficult job. Most organizations and cloud providers like Amazon should be able to update their web servers easily. But the same Apache software is also used by many third-party programs, which often can only be updated by their owners.

Yoran, of Tenable, said organizations need to act as if they have been affected and fix the problem.

The first clear signs of the bug's exploitation appeared in Minecraft, an online game popular with children. Attackers were able to take over one of the world-building game’s servers before Microsoft, which owns Minecraft, patched the problem.

Microsoft said it had completed a software update for Minecraft users. “Customers who apply the fix are protected,” the company said.

Researchers say the vulnerability could also be exploited in servers run by companies like Apple, Amazon, Twitter and Cloudflare.

 

 

 


Words in This Story

 

vulnerability — n. something open to attack, harm, or damage​

utility — n. a computer program that does a specific task​

patch — n. a program that corrects or updates an existing program​

exploit — v. to use in a way that helps you unfairly​

malware — n. a computer program that is designed to damage or break into a computer​



 Apache Log4j

https://www.ossnews.jp/oss_info/Apache_log4j

 

Apache log4j(アパッチ ログフォージェイ)は、 オープンソースJavaプログラム用ロギングユーティリティ(API)です。

ロギングユーティリティとは、プログラム内部から、デバッグ情報やエラー情報などのログデータを、コンソール、ファイル、その他ログサーバなどヘ出力する機能です。

Apache log4j」は、「log4j」と略して称されることが多いです。

Apache log4j」は、ロギングユーティリティとして、ログ出力スピードのパフォーマンスに対して、特段に配慮された設計になっていて、ログ出力スピードは、かなりの速度を誇ります。信頼性と柔軟性があるロギングユーティリティとして、世界中で広く利用されています。

2014年7月に、「Log4j 2」(Log4jのver.2)がリリースされて、各種機能向上や性能向上されています。