「無料でLog4j対策を教えろ」と迫った大企業とオープンソース開発者の痛快なやりとりが公開中

2021年12月に、さまざまなプログラムに使われているJavaのログ出力ライブラリ「Log4j」にリモートコード実行のゼロデイ脆弱(ぜいじゃく)性「Log4Shell」があることが発覚し、世界中のIT産業が対応に追われました。そんな問題に対し、フォーチュン500に選出されるような大企業から対応方法を教えるよう要請を受けたオープンソース開発者が、相手企業と交わしたメールを公開しています。

LogJ4 Security Inquiry - Response Required | daniel.haxx.se

https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquiry-response-required/

さまざまなプロトコルを用いてデータを送受信するのに使われるオープンソースソフトウェア「cURL」の開発者のダニエル・ステンバーグ氏は2022年1月22日に、とある企業から寄せられたメールのスクリーンショットをツイートしました。

相手に配慮するため企業名が伏せられたメールには、Log4jの脆弱性によって同社のサービスや製品が影響を受けるかどうかや、いつまでにそれを修正するのかを早急に回答するよう書かれています。これについてステンバーグ氏は「log4jについて心配している数十億ドル(数千億円)規模の大企業が、なんの対価も支払っていないオープンソースソフトウェアの開発者にメールを送りつけて、24時間以内に無料で質問に答えるよう要求するというのは一体どういうことでしょう？」と述べました。

If you are a multi billion dollar company and are concerned about log4j, why not just email OSS authors you never paid anything and demand a response for free within 24 hours with lots of info? (company name redacted for *my* peace of mind) pic.twitter.com/saumXAWPKO— Daniel ???? Stenberg (@bagder) January 21, 2022

ステンバーグ氏のツイートは、記事作成時点で2500回以上リツイートされ、1万2000件以上もの「いいね」が寄せられるなど、大きな反響を呼びました。そこでステンバーグ氏は、自身のブログでその後のやりとりについて公開することにしました。

ステンバーグ氏はまず、上記のメールについて「このメール1通で示された無知と無能のレベルには、開いた口がふさがりません。私がこれまで携わったことがあるコードや、私に著作権があるコードの中にlog4jを使っているものはありませんし、どんな素人エンジニアでもそんなことは簡単に分かります」と評しつつ、問題のメールには簡潔に「サポート契約を締結するなら、喜んで詳細についてお答えします」とだけ返信したと述べました。

そしてその返信を受け取った相手企業の返答は「こんにちはデビッド、お返事ありがとうございます。それは私たちがあなたの組織の顧客ではないという意味ですか？」というもの。企業が取引相手を把握していないのが問題なことはもちろんですが、ステンバーグ氏のファーストネームをダニエルではなくデビッドと間違えており、短いながら突っ込みどころの多い一文です。



これに対し、ステンバーグ氏はさらに「ゴライアス様へ。貴社は私とも、貴社が情報を求めてメールを送ったHaxxなる組織の誰とも、いかなる契約も結んでいません。貴社は私たちの顧客ではありませんし、私たちも貴社の顧客ではありません。そもそも、最初のメールには一体どのような製品に関するものなのかも書かれていませんでした。従って、貴社は改めて私たちと契約関係を構築するか、またはご自分で答えを見つけていただくかのどちらかになります。私たちは広く使われているオープンソースソフトウェアをたくさん作っているので、貴社が私たちのメールアドレスや連絡先をどこかで入手ことになったのだと推測されます」と返答しました。



なお、「ゴライアス」とは聖書に登場するダビデ(デビッドの由来)と対決した身長約2.9メートルの巨人・ゴリアテのこと。相手が大企業だということと、ステンバーグ氏の名前がデビッドと間違えられたことを逆手に取った少しうまい切り出しです。

ステンバーグ氏が公開したこのやりとりを扱ったソーシャルニュースサイト・Hacker Newsのスレッドには、「この会社を擁護するつもりはありませんが、私が勤務している会社にも似たようなメールがよく届きます。それらはほぼ同じ内容で、よくあるものです。おそらく、法務部門が社内から自社製品の依存関係についてかき集めて作ったリストに誰かが『cURL』を追加し、それに沿って大量に作られたテンプレートのメールがステンバーグ氏の元に届いたのでしょう。ですから、単に無視するか『無関係です』と返信すればそれで済んだはずです」と相手企業の事情を理解する書き込みもあれば、同様の投稿に対し「依存関係を気にかける余裕がないというのは、オープンソースソフトウェアの保守者のことなど気にも留めていないということなので、非常に失礼な話です」と反論する書き込みもありました。

また、オンライン掲示板・Redditのスレッドでは「私はNASAからlog4jに関して同じような問い合わせを受けたことがあります。NASAのような政府機関が私のニッチなアプリを使っていることが分かってうれしかったので、私は返信しました」との書き込みが多くのUpvote(賛成票)を集めていました。