Stack Overflowは1月19日(米国時間)、「Here’s how Stack Overflow users responded to Log4Shell, the Log4j vulnerability affecting almost everyone - Stack Overflow Blog」において、2021年12月にApache Log4jの脆弱性(通称「Log4Shell」)が広く知られるようになってから、Stack Overflowに寄せられる質問にどんな変化があったかを伝えた。
-
Here’s how Stack Overflow users responded to Log4Shell, the Log4j vulnerability affecting almost everyone - Stack Overflow Blog
Stack Overflowは以前から、深刻な脆弱性や問題の発表があると、それに関連した質問の数が増加することを発見している。今回のLog4jの脆弱性についても、同じような傾向が見られたこと、どのような質問の閲覧が増加したかなどが説明されている。
例えば、5年前には注目されなかった使用中のApache Log4jのバージョンを調べる方法を尋ねる質問に対する回答が、ここ30日で過去5年間の17倍ものビューに達するなど、急激にアクセスを伸ばしたとのことだ。さらに今回、単一のサーバ上に複数のバージョンが存在する場合に、脆弱なバージョンを実行している可能性のあるプロジェクトがあるかどうかを調べようとしている開発者にとって、新たな回答が出てきたという。その回答には、サーバ上のすべての.jarファイルをスキャンし、脆弱なLog4jバージョンを強調表示するプログラムも含まれているとのこと。
Stack Overflowの報告は、2017年に発表されたホワイトペーパー「[1709.04621] Do Developers Update Their Library Dependencies? An Empirical Study on the Impact of Security Advisories on Library Migration」を引き合いに出し、80%以上のプロジェクトがいまだに古い依存関係を使用していることが判明しており、Log4jも同じように影響を受けたバージョンが生き残り続ける可能性があることを示唆している。
Log4jの脆弱性自体はアップデートによってすでに修正されているが、Log4jのように多くのソフトウェアで使用されているコンポーネントはアップデートされることなく古いバージョンのまま使われることがわかっている。これは、Log4jの脆弱性を悪用したサイバー攻撃が今後も続く可能性を意味し、今後の動向に注意し続ける必要がある。
