Apache Log4j2ぜい弱性、NHK“ログソフト”呼称にSEから困惑の声

　“ログソフト”という名称に、システムエンジニアから困惑の声が上がっているようだ。NHK NEWS WEBは14日、『“ログソフト”に深刻なぜい弱性 IPA 早急な対策呼びかけ』と題する記事を公開した。Apacheソフトウェア財団のJava向けログ出力ライブラリ「Apache Log4j」について、バージョン2.15.0より前の“2系のバージョン”で深刻な脆弱性が見つかったことを伝えているのだが……。

「知らない人向けの表現に苦労の跡」

　同記事では「ぜい弱性が見つかったのは、コンピューターのサーバーの操作履歴などの記録を残すために使われている『Apache Log4j2』と呼ばれるソフトウエアです」（原文ママ）と説明。独立行政法人情報処理推進機構（IPA）による注意喚起や、専門家の解説を介しつつ、専門的な話題を平易にかみ砕いて一般読者にもわかりやすいよう報じている。一方で、同記事の見出しで「Apache Log4j」について“ログソフト”と表現したことが、現場のプロの首をひねらせているようだ。

　記事タイトルの“ログソフト”という名称に関し、Twitter上では次のように困惑する投稿も見られた。“ログソフト”は14日午前、Twitter日本国内版でトレンド入りした。

「『ログソフト』か。設計図共有サイトの時といい、IT用語を一般向けに説明するのって、本当に難しいんだな。」

「ログソフト……知らない人向けの表現に苦労の跡が見えるな。」

「そっか、一般的な表現ともなると『ソフト』になるのか。むーソフ・・・ト？」

「ライブラリ＝ログソフト？」

　大手メーカー系システムエンジニアの男性は語る。

「そういう名称になるのかと、ちょっと困惑しました。Apache Log4jは、プログラミング言語『Java』向けのログ出力ライブラリです。ログの収集、解析などの用途で、技術者が読むことできるように文字列を置換する機能があります。この機能を悪用して、遠隔操作などで細工した文字列をログに残すと、Apache Log4jがコードと認識し、そのコードを実行することが可能になってしまうという点が今回、問題として指摘されています。

　ニュースでは、ハードウェアに対する広義の意味で、ソフトウェアという言葉を使っているのだと思います。そもそも“ライブラリ”という言葉が、専門外の人たちがすぐ理解できるほど一般的になっていないのかもしれませんし、記事タイトルの文字数制限もあるでしょう。いずれにしてもTwitter上で言及されているように、専門ニュースを一般ニュースに落とし込むのは大変だな、と思いました」

　バイナリIT用語辞典によると、「ライブラリ」と「ソフトウェア」は以下のように説明されている。

「ライブラリとは、プログラム言語において、ある特定の機能を持つプログラムを定型化して、他のプログラムが引用できる状態にしたものを、複数集めてまとめたファイルのことである」（原文ママ、以下同）

「ソフトウェアとは、情報システムを構成する要素で、プログラムのこと、あるいは、物理的な要素であるハードウェアを除いた無形の要素すべての総称である」

　同問題は12月9日（米国時間）に発覚し、10日ごろから国内外のテック系ニュースサイトが問題点や対応策を詳報している。またMicrosoft Security Response Centerが11日に公開した『Microsoft’s Response to CVE-2021-44228 Apache Log4j 2』（編注：日本語抄訳版は12日公開）でも、業界関係者に対し、最新バージョン2.15.0への更新を促すとともに、各バージョンの対応策が示されている。またIPAは14日、セキュリティ情報を更新し、「本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください」と厳重注意を呼び掛けた。

（文＝編集部）