インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている

世界中のセキュリティチームが、Apache Log4jで発見された重大なセキュリティ上の欠陥である「Log4Shell」の修正に追われている。Log4jは、オンラインゲームから企業のソフトウェア、クラウドのデータセンターに至るまで、あらゆる場所で利用されているオープンソースのログ出力ライブラリだ。そのユビキタス(遍在)は、インターネットを厳戒態勢に入らせ、攻撃者は脆弱なシステムを狙う企みを増加させている。

関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

Log4Shellはゼロデイ脆弱性(影響を受けた組織がシステムにパッチを適用する対処期間がゼロデイであることから、このように名づけられた)と呼ばれるもので、この脆弱性は、開発者がアプリケーションの実行中に内部で何が起こっているかを記録するために使うLog4jを実行している脆弱なサーバー上で、攻撃者はリモートでコードを実行することができるというものだ。

この脆弱性は、CVE-2021-44228として追跡されており、深刻度は最大の10.0とされている。これは、攻撃者がインターネットを介して脆弱なシステムを、被害者とのやり取りも一切なしに、リモートで完全に制御できることを意味しており、しかも、その実行にはそれほどスキルを必要としないということだ。

当初の報告によると、Log4Shellの悪用は米国時間12月9日に始まったといわれており、Minecraft(マインクラフト)がLog4Shellの最初の有名な被害者として公表された。しかし、Cisco Talos(シスコ・タロス)とCloudflare(クラウドフレア)のセキュリティ研究者によると、Log4Shellが最初に悪用されたのは2週間前だという証拠が見つかったそうだ。Talosはこの欠陥に関連する攻撃者の活動を12月2日に初めて確認したというが、Cloudflareによると、その1日前の12月1日に悪用の成功を観測したとのこと。

「Log4jの悪用で、これまでに我々が見つけた最も早い証拠は、協定世界時2021年12月1日4時36分50秒です」と、Cloudflareの共同創業者兼CEOであるMatthew Prince(マシュー・プリンス)氏はツイートし「これは、少なくとも一般に公開される9日前には自然界に存在していたことを示唆しています。しかし、大規模な悪用の証拠は、一般に公開された後まで見られません」と、述べている。

誰が影響を受けているのか?

Log4Shellのニュースが最初に報じられて以来、被害者の数が増え続けていることから、数千もの有名企業やサービスがこの欠陥の影響を受けている可能性がある。GitHub(ギットハブ)で定期的に更新されているリストによると、Apple(アップル)、Amazon(アマゾン)、Baidu(バイドゥ)、Google(グーグル)、IBM、Tesla(テスラ)、Twitter(ツイッター)、Steam(スチーム)などが影響を受けた組織として挙げられている。これとは別に、VMware(ヴイエムウェア)は自社製品の多くが影響を受けることを顧客に警告する注意書を発表し、Cisco(シスコ)は自社製品の一部がこの欠陥の影響を受けることを確認している

これらの企業の多くは、すぐに行動を起こしている。Cloudflareは攻撃を防ぐためにシステムを更新したが、悪用された形跡は見られなかったとTechCrunchに述べており、Microsoft(マイクロソフト)はMinecraftユーザー向けにソフトウェアアップデートを発行したとコメント。Valve Corporation(バルブ・コーポレーション)は自社のサービスを「直ちに見直し」、Steamに関連するリスクはないとの結論に達したことを確認している。

iCloud(アイクラウド)サービスに脆弱性があったアップルは、同社のクラウドサービスにパッチを適用したと報じられているが、TechCrunchのコメント要求には応じていない。研究者たちは12月9日と12月10日にiCloudのウェブ・インターフェースが脆弱であることを発見したが、12月11日にはそのエクスプロイトが機能しなくなっていたという。

Log4jソフトウェアを管理しているApache Software Foundation(アパッチ ソフトウェア財団)は、緊急のセキュリティパッチを公開するとともに、すぐにアップデートできない場合の緩和策も発表した。サードパーティによる緩和策も多数用意されている。Huntress Labs(ハントレス・ラブズ)は、企業が自社のシステムを評価するために使用できる無料のLog4Shellスキャナーを作成し、Cybereason(サイバーリーズン)は、無料で利用できるLog4Shellの「ワクチン」をGitHubで提供している

脆弱性の深刻度は?

Log4Shellの影響を受ける企業やサービスの数が増えるとともに、この脆弱性を悪用した攻撃の数も増えている。マイクロソフトは週末のブログ記事で「暗号資産マイナーやCobalt Strike(コバルト・ストライク)をインストールして、クレデンシャル情報の盗用やラテラルムーブメントを可能にし、侵害されたシステムからデータを流出させるなどの行為が確認された」と述べている。

セキュリティ企業のKryptos Logic(クリプトス・ロジック)も米国時間12月12日に、インターネット上でプロービング(探査)を行っている1万以上の異なるIPアドレスを検出したと発表した。これは10日にLog4Shellをプロービングしていたシステムの数の100倍になる。

また、Cado Security(カドー・セキュリティ)では、積極的な悪用の増加を確認しているという。同社がTechCrunchに語ったところによると、12月11日にはLog4Shellを悪用したMirai(ミライ)ボットネットの活動や、多くのIPにわたるMushtik(ムシュティック)の活動が見られたとのこと。同社は、典型的なエクスプロイトの一連の流れに基づき「Log4Shellを原因とする標的型ランサムウェア攻撃の可能性が非常に高い」と考えているという。

広範に使用されているLog4Shellの性質と、それに続くランサムウェアの可能性を考えると、これは嵐の前の静けさと言えそうだ。脆弱性の修正または緩和は、すべてのセキュリティチームの最優先事項であるべきだ。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

広く利用されているJavaログ出力ライブラリで見つかった問題の影響を受け、AppleのiCloud、Twitter、Cloudflare(クラウドフレア)、Minecraft(マインクラフト)、Steam(スチーム)など、数多くの人気サービスが、ゼロデイ脆弱性にさらされていることが報告されている。

膨大な数のアプリ、ウェブサイト、サービスで使用されているオープンソースのログユーティリティ「Apache Log4j」に発見されたこの脆弱性は、Alibaba(アリババ)のChen Zhaojun(チェン・ジャオジュン)氏が報告したもので、LunaSec(ルナセック)の研究者によって「Log4Shell」と名づけられた。Log4Shellが最初に発見されたのは、Microsoft(マイクロソフト)が所有するMinecraftだったが、LunaSecは、主なJavaベースの企業向けアプリやサーバーのほぼすべてにLog4jが「ユビキタス」に存在していることから「非常に多くのサービス」が悪意のある行為に対して脆弱であると警告している。このサイバーセキュリティ会社は、ブログ記事の中で、Apache Struts(アパッチ・ストラッツ)を使用している人は誰もが「おそらく脆弱である」と警告した。

これまでにLog4Shell攻撃に脆弱であることが確認されたサーバーを持つ企業は、Apple(アップル)、Amazon(アマゾン)、Cloudflare、Twitter、Steam、Baidu(百度、バイドゥ)、NetEase(ネットイース)、Tencent(テンセント)、Elastic(エラスティック)などだが、他にも数千とまではいかなくとも数百の組織が影響を受けている可能性がある。Cloudflareは、TechCrunchに寄せた声明で、攻撃を防ぐためにシステムを更新したと述べており、悪用された形跡はないと付け加えている。

NSA(米国家安全保障局)のサイバーセキュリティ担当ディレクターであるRobert Joyce(ロバート・ジョイス)氏は、同局が開発した無償でオープンソースのリバースエンジニアリングツール「GHIDRA」も影響を受けることを確認した。「Log4jの脆弱性は、NSAのGHIDRAも含め、ソフトウェアのフレームワークに広く搭載されているため、悪用される恐れが大きい」と、同氏は述べている。

ニュージーランドのCERT(コンピューター緊急対応チーム)や、ドイツテレコムのCERT、そしてウェブ監視サービスのGreynoise(グレイノイズ)は、攻撃者がLog4Shell攻撃を仕掛けるための脆弱なサーバーを積極的に探していると警告している。Greynoiseによると、約100の異なるホストがインターネット上でLog4jの脆弱性を悪用する場所をスキャンしているとのことだ。

HackerOne(ハッカーワン)のシニアセキュリティテクノロジストであるKayla Underkoffler(カイラ・アンダーコフラー)氏は、今回のゼロデイ脆弱により「世界の重要なサプライチェーンに対する攻撃において、オープンソースソフトウェアがもたらす脅威が増大している」ことが明らかになったと、TechCrunchに語った。

「オープンソースソフトウェアは、現代のデジタルインフラストラクチャのほぼすべてを支えており、平均的なアプリケーションでは528種類のオープンソースコンポーネントが使用されています」と、アンダーコフラー氏は語る。「2020年に発見されたリスクの高いオープンソースの脆弱性の大半は、2年以上前からコード上に存在していますが、ほとんどの組織では、サプライチェーン内のオープンソースソフトウェアを直接制御して、これらの弱点を簡単に修正することができません。しばしば資金が不足するこのソフトウェアを保護することは、それに依存しているあらゆる組織にとって急務です」。

Apache Software Foundation(アパッチ・ソフトウェア財団)は、Log4jのゼロデイ脆弱性を修正するための緊急セキュリティアップデートを米国時間12月10日に公開し、すぐにアップデートできない場合の緩和策も発表している。ゲーム開発会社のMojang Studios(モヤン・スタジオ)も、このバグに対応したMinecraftの緊急セキュリティアップデートを公開した。

画像クレジット:Busà Photography / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

SDGsが募集テーマのMinecraftカップ2021全国大会の第2次地区ブロック審査会が11月開催

Minecraftカップ全国⼤会運営委員会は10月21日、「Minecraftカップ2021全国大会」日本各地の地区ブロック予選(1次審査)を通過した代表選手による2次審査会を開催すると発表した。11月7日より全国を5ブロックにわけて行なわれ、内容は1次審査通過者のプレゼンテーションと審査員による質疑応答となる。その模様はYouTube「Minecraft カップ」にて生配信される。審査基準と日程は以下の通り。続く最終審査会は2022年1月30日にオンラインでの開催を予定している。

作品募集テーマ「SDGs時代のみんなの家、未来のまち」

以下の3つのうち、1つ以上のSDGsの目標を取り入れてワールドを制作する。

  • 3:すべての人に健康と福祉を
  • 7:エネルギーをみんなに そしてクリーンに
  • 15:陸の豊かさも守ろう

審査基準

  • 構想力:既存の枠にとらわれない発想で作品テーマを構想できているか
  • 調査力:テーマに対して様々な調査を行えているか
  • 技術:プログラミングやレッドストーンが活用されているか
  • 計画力:計画を立てて取り組むことができるか
  • 作品完成度:上記をふまえて総合的に作品のクオリティが高いか

開催日時

  • 関西・中国ブロック:11月7日14:00〜16:00(予定)
  • 北海道・東北・その他ブロック:11月13日14:00〜16:00(予定)
  • 四国・九州・沖縄ブロック:11月14日14:00〜16:00(予定)
  • 東京ブロック:11月21日14:00〜16:00(予定)
  • 関東6県・中部ブロック:11月28日14:00〜16:00(予定)

Minecraftカップ2021全国大会は、「ひとりひとりが可能性に挑戦できる場所」をコンセプトに「Minecraft: Education Edition」(教育版マインクラフト)を用いて子供たちにプログラミング教育やデジタルなモノ作りに触れる機会を創出し、子供たちのプログラミング思考の熟成を目指して開催されているイベント。7月12日よりエントリーの受付を開始し、エントリー総数3087人のうち、チーム・個人を合わせて484作品が集まった。

1次審査は北海道・東北・その他関東6県・中部東京関西・中国四国・九州・沖縄の5ブロックに分かれており、10月8~22日までブロックごとの相互投票によって行なわれた。それぞれの作品も公開されている。

2次審査会は、地区ブロック担当のMicrosoft認定教育イノベーター(MIEE)によって行なわれる。内容は1次審査通過者による3分以内のプレゼンテーション動画配信と、2分間の質疑応答によって審査されその模様はYouTubeでリアルタイム配信される。結果は後日公式サイトにて発表される。

「マインクラフト」次期大型アップデート「Caves and Cliffs(洞窟と崖)」パート1が6月8日配信決定

「マインクラフト」次期大型アップデート「Caves and Cliffs(洞窟と崖)」パート1が6月8日配信決定

Mojang

マインクラフトの次期大型アップデート『Caves and Cliffs』(洞窟と崖)パート1の配信が6月8日に決定しました。

プラットフォームはWindows 10、ニンテンドースイッチ、PS5 / PS4、Xbox One / Xbox Series X|S、iOS / Android スマートフォン等で動く統合版 Bedrock Edition と、PC / Mac / Linux の Java版のすべて。

『洞窟と崖』アップデートの第一弾となる今回は、地底湖や植物で覆われた洞窟、アメシストの晶洞(ジオード)といった新たな地形が増え、初の両生類ウーパールーパーやヤギ、発光イカといった新規モブ、銅鉱石やアメシスト、望遠鏡、避雷針などさまざまな新規ブロックやアイテムが追加されます。

「マインクラフト」次期大型アップデート「Caves and Cliffs(洞窟と崖)」パート1が6月8日配信決定

Minecraft

Caves and Cliffs (洞窟と崖)は、2020年10月のイベント Minecraft Live で発表された大型アップデート。

マインクラフト大型アプデ「ケイブ&クリフ」発表。銅鉱石にウーパールーパー、地底湖や考古学など新要素多数

大量の新規要素を含む野心的な内容ですが、新型コロナウイルス感染症の流行により開発元 Mojang がリモートワークに移行し開発に遅れが生じたこと、無理に当初スケジュールに間に合わせるよりも開発陣の健康と製品の品質を優先するとの判断で、パート1とパート2の分割リリースになりました。

6月8日にリリースされるパート1は、銅やウーパールーパー、新規の洞窟バイオーム等々を追加する内容。年末予定のパート2では、音で周囲を認識する強力な敵対モブ「ウォーデン」が生息する地底世界 Deep Dark や考古学といった要素が加わる予定です。

「マインクラフト」次期大型アップデート「Caves and Cliffs(洞窟と崖)」パート1が6月8日配信決定

Minecraft

ウーパールーパー(アホロートル、幼形成熟したメキシコサンショウウオ)は、バケツで捕獲できる水生モブ。プレーヤーを守り一緒に戦ってくれます。

「マインクラフト」次期大型アップデート「Caves and Cliffs(洞窟と崖)」パート1が6月8日配信決定

Minecraft

銅鉱石の追加も大きなニュース。生成した銅を建築素材に用いた場合、時間経過で緑青を生じ、歴史的建造物によく観られる落ち着いた緑の色合いになります。

「マインクラフト」次期大型アップデート「Caves and Cliffs(洞窟と崖)」パート1が6月8日配信決定

Minecraft

銅を使ったクラフトは避雷針や望遠鏡など。

「マインクラフト」次期大型アップデート「Caves and Cliffs(洞窟と崖)」パート1が6月8日配信決定

Minecraft

緑豊かな洞窟(ラッシュケーブ)。食べられる発光ベリーの実る蔦やなど、新たな生態系が。

「マインクラフト」次期大型アップデート「Caves and Cliffs(洞窟と崖)」パート1が6月8日配信決定

Minecraft

アメシストの晶洞(ジオード)。滑らかな玄武岩、方解石、凝灰岩といった新たな鉱物で構成された構造。アメシストは「芽」から結晶が育ちクラスターになる。上を歩いた時、物を当てた時、叩いた時などに独特の音がすることも特徴。望遠鏡など新たなクラフト材料にも。

マインクラフトには「光」の要素があり、モブの出現や植物の生成など世界の法則に組み込まれていますが、洞窟と崖では「音」の要素も重視されるようになります。

マインクラフト大型アプデ「ケイブ&クリフ」発表。銅鉱石にウーパールーパー、地底湖や考古学など新要素多数
Caves & Cliffs: Part I has a release date! | Minecraft

Engadget日本版より転載)

関連記事
新型コロナ蔓延下ではゲーム性よりソーシャルプラットフォームを優先したゲームが必要だ
暗号資産・ブロックチェーン業界の最新1週間(2020.9.6~9.12)

カテゴリー:ゲーム / eSports
タグ:Microsoft / マイクロソフト(企業)Minecraft / マインクラフト(製品・サービス)

生物の授業にマインクラフトの創造性をもたらす仮想科学プラットフォームInspirit

Inspirit(インスピリット)の創設者Aditya Vishwanath(アディティヤ・ビシュワナート)氏は、Minecraft(マインクラフト)が持つ創造性を、世界の子どもたちの日々の学業に取り入れたいと考えた。

「生徒たちはTikTok(ティックトック)で育ち、高度にインタラクティブで、とてもおもしろいRoblox(ロブロックス)のゲームで遊んでいます」と彼は話す。「そんな彼らが教室に入ると、人による20分間の授業を聞くことになります」。こうした陳腐化を打開しようと、彼とその共同創設者Amrutha Vasan(アムルタ・バサン)氏はソリューションを組み立てた。

彼らの仮想科学プラットフォームでは、学生と教師が、DNAの複製から放物運動実験まで、STEM(科学、技術、工学、数学教育)のシミュレーションを構築し体験できる。プレイヤーに自分だけの世界を建設したいと意欲を搔き立てるMinecraftにならって、Inspiritも、自分専用の科学実験や学習の世界をローコードを使って作り出すよう背中を押す。この3Dプラットフォームのコア技術は、ゲームの編集やインタラクティブなコンテンツの制作に使われるゲームエンジンUnity(ユニティー)上に構築されている。

同スタートアップは、どうしたらユーザーが特定の素材に自然に惹きつけられるようになるかを探ろうと、制作を完全にコントロールするところから始めた。現在は、教師が月や真核細胞の探求といった既存のコースを土台にして授業を組み立てることができる。またそこには解説、簡単なテスト、ナレーションも追加できる。

同社は、当初からマイクロレッスンのアプローチを採用しているが、ビシュワナート氏は教育版Minecraft構築に大きな可能性を見ている。Inspiritの原動力となっているのは、人は人生のさまざまなステージにおいて、自分で管理できて心惹かれる学習方法で、学校で習ったことを補習したいと望む、という基本的な信念だ。

 

このツールは、実際にはまだ仮想現実(VR)技術を採り入れておらず、まずはハードウェアに依存しないシステムでプロダクトマーケットフィットを探り、最大のユーザーベースを築くことに注力している。現在はOculus Quest(オキュラス・クエスト)の統合を実験しているが、一般ユーザーが試せるオプションはまだない。

Inspiritは2020年9月に予約受付を開始し、現在はプライベートベータテストにK-12(幼稚園から高校卒業まで)のユーザー5万人が登録している。

ゲーム形式でVRを活用したアプローチは、学習をもっと魅力的に楽しいものにしようと、ずいぶん前からEdTech分野では用いられてきた。そのためまだ公式ローンチ前のInspiritには、数多くのライバルがある。潤沢な資金を有するコペンハーゲンのスタートアップLabster(ラブスター)は、2011年に創設され、理科の授業に代わる研究室シミュレーションを提供している。最近になってこのスタートアップはプラットフォームの利用が急増し、その研究室ソフトウェアをアジアに拡大した。ビシュワナート氏は、子どもたちをユーザーではなくクリエイターになるよう促す点でInspiritはLabsterとは違うと考えている。

EdTechとVRが融合したもう1つの最近の例に、従業員のスキルアップのために1200万ドル(約12億5000万円)を調達したTransfr(トランスファー)がある。TransfrはInspiritが展開している市場はまったく異なり、労働者をターゲットとしているのだが、やはりこの会社も、モジュールのライブラリー構築に予算を振り向け、カリキュラムの拡大を急いでいる。

Inspiritの最大の試練は、Mincraftのような自発性や魔法を本当に再現できるかだ。生徒たちは本当にそのプラットフォームで創造的な気持ちを搔き立てられるのか、さらに重要なこととして、生徒たちは何度も繰り返し戻ってくるのかだ。ここで考慮すべきは、学校教育の補習というInspiritの動態だ。現在はカリキュラムベースの教育に大きく重点を置いている。もし生徒がInspiritを学校の復習に使おうとするなら、可能性は完全に無限とはいえなくなる。それどころか義務教育の規則に足かせをはめられてしまう。

そこが、ゲームとインタラクティブなシミュレーションとを分ける一線だ。

「たとえ初歩の理科においてさえ、Inspiritを推進するのは教師ではないと信じる強い思いと理由が、私にはあります」とビシュワナート氏はいう。ある12歳の生徒がInspiritの既存のモジュールを使って「量子ファンネル」を作った例を、彼は挙げていた。

Inspirit共同創設者アムルタ・バサン氏とアディティヤ・ビシュワナート氏(画像クレジット: Inspirit)

さらに同スタートアップは、その効果や能率性を証明しなければ、倫理上、エンドユーザーに販売するわけにはいかない。難しい問題をわかりやすくするという点で、仮想現実に大きな可能性があるのは明白だ。しかし、その技術をときどきつまみ食いする程度では、効果は得られない。

長期的には、EdTechは単に消費するものから、創造するものへシフトしていくとビシュワナート氏は考えている。そのビジョンで、彼はすでに多くの投資家を説得してきた。米国時間1月28日、その高い目標に向けたシード投資ラウンドによる資金の調達を発表した。360万ドル(約3億8000万円)というこのラウンドを主導したのはSierra Ventures。その他にもUnshackled Ventures、AME Cloud Ventures、January Ventures、Edovate Capital、Redhouse Education、Roble Venturesが参加している。

この資金は、ビジネスモデルと収益化プランの構築、そして人材確保に使われる予定だ。EdTechとゲームを混ぜ合わせることで、「急成長したものの、どうやってお金を稼ぐかを知らず葬られる教育系企業」になるのを防げると、ビシュワナート氏は考えている。

関連記事
VR理科実験用ソフトでアジアに進出するLabster
新型コロナ時に不可欠なVRのトレーニング施設を製造工場の現場にもたらすTransfrが12億円調達

カテゴリー:EdTech
タグ:InspiritMinecraftVR資金調達

画像クレジット:gorodenkoff / Getty Images

原文へ

(文:Natasha Mascarenhas、翻訳:金井哲夫)