揉め方が酷すぎる。
裏社会の便利屋として生きる大学生が主人公の漫画を読んだんだが、
主人公の動機が「借りた奨学金(4年間で500万円)を在学中に完済したいから」でずっこけた。
非合法なものの売買に自分から関わった時点でまっとうな社会人からは程遠い人生だよ。
借金500万円に対して(人生詰んでね?)などと勝手に絶望してるが、
奨学金よりも利率の高い住宅ローンをン千万円借りてる世間一般の人はどうなるのよ。
作者は奨学金に恨みでもあるのか?
多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています。
ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。
自組織で Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったことから、アナウンスを待つ前に対応が必要だったところもあると思います)。
OSS なら依存パッケージを比較的調べやすいですが、Splunk や Salesforce のようなアプライアンス製品などはどうでしょう。スイッチやルーターは? クライアントの Java アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。
ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います。
ゼロデイだったため、最初は対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。
「特定のクラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策。
その他 Web Application Firewall のバイパスなど、ご対応された皆さん、本当に大変だったと思います。お疲れ様です。
これも全部 Wizard Bible 事件やアラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。
最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMI とかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。
攻撃のメカニズムなどを解説してくれている記事があれば、最初から迷わず頑張ってアップデートする方向に舵取れたと思う。
誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。
小学校で配られた端末のセキュリティ突破が話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。
そういえば情報共有でいうと CISA は動きが素早かった。最初は個人の gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db で網羅され始めた。Pull Request も取り込んでいて、素晴らしい。
一方で JVN DB の方はどうでしょう。https://jvn.jp/vu/JVNVU96768815/
報告を受けている製品しか書いていないのですかね。国内製品はもっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。
「セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品やソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。
自演に決まっているじゃん
西梅田のメンタルクリニックが放火されて死者が多数出たっていう事件で、
口コミが酷いから診療内容が悪かったせいで放火されたみたいに言って被害者叩きしている人間の多さが怖い
放火する方が悪いに決まっているのに
Qアノン同士仲良くやれば良いじゃん
はてブの良いところでよく挙がる「自分にはない視点の意見を読める」ってやつ、自分もそこに価値を感じていた。バイアスはあれど人気コメントの仕組みでピックアップされるのは、コメントが埋もれがちな掲示板系とは違って良いと思う。
だけどここ数年、明らかにヘイトや差別的表現を人気コメントで見かけることが多くなってきた。いやそれ自体は別に良いんだ。そういう視点もあるのだなという観点では学びになる。
俺がやりたい大喜利は、「三大〇〇、××と△△と□□、あと一つは?」みたいなのじゃないんだ、すまんな。
誹謗中傷は止めましょう
なんとなく見えたら進んで良いらしい
お前が例えば仕事を続けて揉まれて一生懸命頑張って後輩が出来たとする
そのときお前は後輩がミスした時の状況やその時にする態度が分かるんだよ
なぜならそれが通ってきた道だから
にげてばっかりのおばさんがいってもね笑