Javaで書かれた広く使われているログ記録ライブラリApache Log4jには、Log4Shellと通称されるゼロデイ脆弱性がある。連邦取引委員会(FTC)はこのほど、Log4Shellに対して顧客データのセキュリティを確保していない米国企業に対しては法的措置をとると警告した。
2021年12月に初めて発見されたこの「深刻な」脆弱性は、ますます多くの攻撃者によって悪用されており、何百万もの消費者製品に「深刻なリスク」をもたらすと、FTCは警告している。この公開書簡は、消費者に被害が及ぶ可能性を低減し、法的措置の可能性を回避するために、組織に対して脆弱性を緩和(ソフトウェアの最新バージョンへのアップデート)するよう組織に要請しています。
関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる
「脆弱性が発見され悪用された場合、個人情報の紛失・漏洩、金銭的損失、その他取り返しのつかない損害を被る危険性がある。既知のソフトウェアの脆弱性を軽減するために合理的な措置を講じる義務は、特に連邦取引委員会法およびグラム・リーチ・ブライリー法を含む法律に関係するものである。 Log4jに依存している企業やそのベンダーが、消費者に被害を与える可能性を減らし、FTCの法的措置を回避するために、今すぐ行動することが重要だ」とFTCは述べている。
FTCは、2017年にApache Strutsの既知の欠陥のパッチを怠り、消費者1億4700人の機密情報の侵害が起こったEquifaxの例を挙げている。その信用報告機関はその後、FTCとそれぞれの州に7億ドル(約810億円)を払う示談に合意した。
さらにFTCは「Log4jや同様の既知の脆弱性の結果として、消費者データを露出から保護するための合理的な措置を講じていない企業を追及するために、完全な法的権限を行使する意向だ」と述べ、「今後同様の既知の脆弱性」が発生した場合に消費者を保護するために法的権限を適用する計画だと付け加えた。
FTCは、数百万ドル(数億円)規模の罰金を回避したい企業に対して、米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)が発行したガイダンスに従うよう促している。これにより、企業はLog4jソフトウェアパッケージを最新バージョンにアップデートし、脆弱性を緩和するための対策を講じ、脆弱性の可能性があるサードパーティーやコンシューマーに脆弱性に関する情報を配布する必要がある。
このFTCによる警告射撃は、Microsoftが今週、Log4Shellの脆弱性が依然として企業にとって「複雑で高リスク」の状況にあると警告し、「12月最後の数週間、悪用の試みとテストは高いままであり、低スキルの攻撃者と国民国家の行為者が同様にこの欠陥を利用している」と述べたことを受けてのものだ。
関連記事:インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている
「現時点では、悪用コードやスキャン機能が広く出回っていることが、顧客の環境にとって現実的な危険であると考えるべきでしょう。影響を受けるソフトウェアやサービスが多く、更新のペースも速いため、修復には長い時間がかかると予想され、継続的な警戒が必要です」とMicrosoftとは述べている。
画像クレジット:Getty Images
[原文へ]
(文:Carly Page、翻訳:Hiroshi Iwatani)