FTC 警告:Log4J 攻撃から顧客データを保護しない企業に法的措置?

FTC warns companies to secure consumer data from Log4J attacks

2022/01/04 BleepingComputer — 今日、米国連邦取引委員会 (FTC : Federal Trade Commission) は、継続して止まない Log4J 攻撃から、顧客データの保護を怠る米国企業を追及すると警告した。FTC は、「Log4j および、今後の類似する脆弱性の結果として生じる、消費者データの流出を止めるための合理的な措置を講じない企業を、法的権限をフルに活用して追及する意向だ」と述べている

さらに、「既知のソフトウェアの脆弱性を緩和するための、合理的な措置を講じる義務は、FTC 法Gramm Leach Bliley 法などに関係している。Log4j に依存している企業とベンダーは、消費者への被害の可能性を低減し、FTC による法的措置を回避するために、今すぐに行動すべきだ」と述べている。

FTC は各企業に対して、Log4j の欠陥を軽減するための CISA ガイダンスに従い、以下のようにアドバイスしている。

  • 使用している Log4j ソフトウェア・パッケージを、以下に掲載されている最新バージョンに更新する: https://logging.apache.org/log4j/2.x/security.html
  • CISA ガイダンスを参照し、この脆弱性を緩和する。
  • 自社の行為が法律に違反しないように是正措置を講じる。このソフトウェアのインスタンスを特定してパッチを適用しなかった場合、FTC 法に違反する可能性がある。
  • この情報を、脆弱性による影響の可能性のある消費者に対して、また、製品およびサービスを販売している子会社などに配布する。

    12月初旬から活発に悪用されている

    今回の警告は、CISA が出した緊急指令を受けたものであり、米国連邦民間行政機関 (Federal Civilian Executive Branch) に対して、活発に悪用されている Log4Shell バグに、12月23日までにパッチを当てるよう命じたものだ。

    また、連邦政府機関は、12月28日までの5日間で、それぞれの環境内で Log4Shell の影響を受けた製品を報告するよう求められた。この報告には、アプリ名/ベンダー名/アプリ・バージョン、攻撃を阻止するために行った措置などが含まれる。

    CISA は、Log4Shell について、パッチ情報を掲載した専用ページを提供し、脆弱な Java ベース・アプリを発見するための Log4j スキャナーを公開している。また CISA は Log4jへの対処について、Five Eyes のサイバー・セキュリティ機関や、その他の米国連邦政府機関 (Federal Civilian Executive Branch) と協調し、セキュリティ上の欠陥である CVE-2021-44228/CVE-2021-45046/CVE-2021-45105 を緩和するための共同アドバイザリーを発表した。

    月曜日には Microsoft のセキュリティ研究者が、「攻撃者がターゲットを見つけるために、複数の共通するインベントリ技術を使用していることを確認した。洗練された敵対者 (国家機関など) やコモディティ攻撃者などが、これらの脆弱性を利用していることが確認されている。この脆弱性の悪用が拡大している可能性が高い」と警告している。

    また、「12月の最後の数週間は、脆弱性の悪用の試みやテストが頻繁に行われている。既存の攻撃者の多くが、コインマイナーからハンズオン・キーボード攻撃にいたるまで、これらの脆弱性の悪用を、既存のマルウェアキットや戦術に追加しているのを確認している」と述べている。

2021年末までの Log4j に関連する攻撃ですが、12月20日の「Log4j 脆弱性を悪用する侵入者:ベルギー国防総省のネットワークを侵害」という記事をポストしています。また、12月29日には、ベトナムの暗号資産取引プラットフォーム である ONUS の、脆弱な Log4j を使用する決済システムが攻撃されてという報道がありました。しかし、米政府の対応は厳戒態勢と言えるほどのものであり、FTC 法と Gramm Leach Bliley 法を根拠にして、米企業にユーザー保護を徹底させるようです。それなりの兆候を、見つけ出しているのだろうと予測できます。→ Log4j まとめページ

%d bloggers like this: