ユビキタス社会に開いた“穴”

この12月は、Javaベースのロギングライブラリー「Apache Log4j」に極めて深刻な脆弱性が見つかり、悪用された場合はライブラリーが動作するサーヴァーにおいて管理者権限が乗っ取られる可能性もあるとして、サイバーセキュリティの世界を震撼させた。

「「Log4j」の脆弱性がインターネット社会を恐怖に陥れた:2021年12月に最も読まれた10本のストーリー」の写真・リンク付きの記事はこちら

「Log4j」は、Apacheソフトウェア財団が提供するオープンソースのフレームワークで、主にサーヴァー上の履歴を記録する目的で、プログラミング言語「Java」で開発されたシステムに幅広く組み込まれている。クラウドコンピューティングやインターネットセキュリティを提供するあらゆるサーヴィスへの影響が想定され、利用者が多い代表的なサーヴィスには、アマゾン ウェブ サービス(AWS)やCloudflare、iCloud、Steamなどが挙げられる。

「Log4Shell」と名付けられた今回の脆弱性は、「Log4j」がディレクトリ・サーヴィスからデータを参照する際に実行するAPI(アプリケーション・プログラミング・インターフェース)の一部機能における初期設定に起因している。簡単に説明すると、「Log4j」には特定のLookup機能でオブジェクトデータを取得する際に、ログに記録された文字列の一部を変数として置換する仕様がある。この機能が第三者により悪用されると、細工を施した文字列を送信してログに記録させるだけで、あらかじめ指定した通信先や内部パスから任意のコードを実行することも可能になってしまうのだ。

すでにApacheソフトウェア財団が脆弱性を修正したヴァージョンを公開しているが、悪用を防ぐには「Log4j」が実装されたサーヴィスそのもののアップデートが必要であり、最終的にはサーヴィス事業者の手に委ねられている。誰もが無償で利用できるオープンソースであり、高い信頼性を認められたユビキタスな存在だからこそ、広範囲で長期的な脅威が予想される。多くのソフトウェアが既存のライブラリーやコードの寄せ集めとして形成される現状、もしかしたら自社のサーヴィスに「Log4j」が組み込まれていることすら認識していない事業者も存在するかもしれない。

Log4jの関連記事

システムの重要な基盤「Log4j」の脆弱性が、世界中に“破壊的”な影響を及ぼしている「Log4j」の脆弱性が、長期的にインターネットを脅かすと言えるいくつもの理由「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる

脱レアメタルへの一歩

電気自動車(EV)などに広く採用されているリチウムイオン電池の代替として、ナトリウムイオン電池の開発が加速している。リチウムやコバルト、ニッケルといったレアメタルが2020年代の終わりまでに不足するとみられることから、安価な安定供給が可能なナトリウムがバッテリーの材料として改めて注目されているのだ。

リチウムイオン電池が世界で初めて商品化された1991年以前は、ナトリウムイオン電池が未来の住宅や自動車の電力供給源として有望視されていた。しかし、より軽量で扱いやすいリチウムが未来のバッテリーの材料としての地位を確立してからは、ナトリウムの存在感は次第に薄れていった。

そうしたなか、中国のバッテリー大手の寧徳時代新能源科技(CATL)は2021年7月、ナトリウムイオン電池の商用化を発表。23年からEVのバッテリーパックに、リチウムイオン電池とナトリウムイオン電池を並列に接続する新たなソリューションを打ち出した。同社は10年前から電池の材料としてナトリウムの採用を検討していたという。

ナトリウムイオン電池は一般的なリチウムイオン電池よりも急速な充放電が可能で、極めて低温の環境でも電池として動作することが報告されている。リチウムイオン電池のような省スペースには向かないが、再生可能エネルギーの蓄電設備や電気自動車の充電装置、産業施設のバックアップ電源など、スマートグリッドの実現に欠かせないインフラとしての可能性を秘めている。

今年9月には、トヨタ自動車が自動車用電池の生産と研究開発に約1兆5,000億円という巨額の投資を決定したことも記憶に新しい。電池コストの低減と生産体制の拡充は、脱炭素社会を目指す世界共通の課題だ。ナトリウムイオン電池は、その一翼を担うに値するのかもしれない。

このほか、家庭用ルームランナーの改造をめぐるユーザーとメーカーの攻防や、IoT化が加速するセックストイの標準規格に対する是非など、セキュリティ関連の話題が多かった。ここからは、12月に「WIRED.jp」で公開された編集記事を中心に、最も読まれた10本を紹介する。

PS5が品薄の裏で暗躍する「転売屋」たち、その知られざる舞台裏

家庭用ゲーム機が入手困難な状況が続いている。半導体不足も一因だが、大きな影響を及ぼしているのが「転売屋」と呼ばれる人々の存在だ。品薄な人気商品を誰よりも早く購入し、高値で売りさばく転売屋の世界に潜入した。>>記事全文を読む

システムの重要な基盤「Log4j」の脆弱性が、世界中に“破壊的”な影響を及ぼしている

幅広いシステムやサーヴィスで使われているJavaライブラリー「Log4j」の脆弱性が、世界的に深刻な問題を引き起こしている。バグを悪用されると脆弱なシステムを容易に遠隔操作される恐れもあるという。>>記事全文を読む

いまタブレット端末を買うならどれがいい? おすすめの製品7選

タブレット端末を新調するならどのモデルがいいだろう? 「iPad」シリーズからアマゾンの「Fire」シリーズ、マイクロソフトの「Surface」シリーズまで、予算や性能もさまざまなおすすめモデルを7つ紹介する。>>記事全文を読む

家庭用のルームランナーを“ハッキング”するユーザーたちと、ブロックするメーカーとの攻防の理由

家庭用ルームランナーのディスプレイでNetflixやYouTubeを視聴するためにユーザーたちが機器を改造したところ、メーカー側は自動アップデートで抜け道をふさいでしまった。ユーザーとメーカーによる攻防の行方はいかに。>>記事全文を読む

「ナトリウムイオン電池」は、EVの新たな動力源になるか

電気自動車などに広く採用されているリチウムイオン電池の代替として、ナトリウムを用いたバッテリーの開発が進んでいる。安価なナトリウムを用いることで、大規模なバッテリー産業を立ち上げる機会につながると期待されている。>>記事全文を読む

スマートリング「Oura Ring」の第3世代モデルは優秀な健康トラッカーだが、まだ不便な点もある:製品レヴュー

指輪型の健康トラッカー「Oura Ring」の第3世代モデルは、従来の製品と同様に正確で便利だ。しかし、すぐには使えない新機能やサブスクリプションの導入といった不便さもある。>>記事全文を読む

検索結果の精度を上げる! 覚えておきたいGoogle 検索の「4つのテクニック」

「Google 検索」にキーワードを入れても、検索結果に広告やSEO対策に長けたブログばかりが出てきてうんざりした経験はないだろうか? そんなときに覚えておくと役立つ検索テクニックを紹介しよう。>>記事全文を読む

セックストイの新しい「ISO規格」は、コネクテッドな製品のセキュリティ問題を解決できるのか?

セックストイの設計と安全性の要件について定めた国際規格「ISO 3533」を、このほど国際標準化機構が策定した。しかし、スマートフォンやインターネットと連動したコネクテッド製品のセキュリティについては盛り込まれていない。>>記事全文を読む

大退職時代は「大再考時代」? テック業界の人々が、仕事に求める条件を見直している

コロナ禍を機に会社を辞めたり転職したりする人が急増し、「大退職時代」が本格的に到来した2021年。米国のテック業界では今年後半になって、ウェルビーイングなどを基準に新たな職を選ぶ「大再考時代」が訪れつつある。>>記事全文を読む

ゲーム「DOOM」の開発元が、メタルバンドの名称に異議。いったいなぜなのか?

ソーシャルメディアで悲観的なニュースばかりを読む「ドゥームスクロール」という行為が社会問題になっている。この言葉をメタルバンドの名称にしようと商標登録を申請した男性に、思わぬところから「待った」がかかった。>>記事全文を読む