『マインクラフト』Java版などに利用されるライブラリに、緊急度の高い脆弱性が見つかったようだ。影響はプレイヤーおよびサーバー側、どちらにも及ぶ。開発元Mojang Studiosは脆弱性に対応する緊急修正パッチを配信。ゲームおよびランチャーの再起動によるアップデートと、サーバー管理者への対応を呼びかけている。
『マインクラフト』は、世界的に広い人気を誇るサンドボックスゲーム。今回発見された問題は、本作Java版が利用しているJava向けライブラリ「Apache Log4j 2」のゼロデイ脆弱性に起因するものだ。このライブラリは、Javaで構築されたソフトウェア上でのログ記録を助けるロギングツール。Apacheソフトウェア財団のもと、オープンソース(Apache 2.0ライセンス)で公開されている。Java開発環境では、かなり広範に利用されているライブラリだ。
今回、そのLog4j 2に認められたのは、RCE(リモートコード実行)を可能とする脆弱性だ。端的にいえば、対策をしていないすべての『マインクラフト』サーバーおよびユーザーのPC上で、攻撃者が任意のコードを実行できてしまう。『マインクラフト』はLog4j 2を利用してチャットログなどを記録していると見られるため、攻撃者のチャット発言を受信するだけで被害が生じる可能性があるのだ。また、被害範囲についても、データ侵害など深刻な被害をもたらしうる可能性がある。注意しておきたいのは、この脆弱性は『マインクラフト』に限らないということだ。前述のとおりLog4j 2は広く用いられているライブラリであり、影響の程は計り知れない。
今回の脆弱性発覚を受けて、開発元Mojang Studiosはすでに修正パッチを配信している。海外掲示板Redditでは、同社にてテックリーダーを務めるMikael Hedberg氏がパッチ配信について告知。ゲームおよびランチャーの再起動により、パッチが適用されると伝えている。また、同問題への対応を盛り込んだ「1.18.1 Release Candidate 3」が配信中だ。また同氏は自身のTwitterアカウント上で、バージョン1.17より古いクライアントでは安全性の確認が取れていない旨を伝えている。
公式クライアントは対応されたものの、一部Modやサードパーティー製ランチャーなどにはまだ脆弱性が残る可能性がある。現状『マインクラフト』を遊ぶ場合は、公式クライアントの最新バージョンを利用するべきだろう。また、Log4j 2自体も、log4j-2.15.0-rc1として脆弱性に対策が施された。とはいえ、本脆弱性は広まったばかりだ。今後どのように波及していくのか、警戒を怠らないようにしたい。