SEC と FTC の Log4j 脆弱性をめぐる警告:金融分野での悪用に備える米政府

SEC, FTC Issue Warning on Log4j Vulnerabilities

2022/01/14 SecurityBoulevard — 米国連邦取引委員会 (Federal Trade Commission : FTC) および米国証券取引委員会 (Securities and Exchange Commission : SEC) は、Log4j の脆弱性がもたらすリスクに対処していない企業に警告を発している。特に FTC は、消費者向けの製品やサービスに含まれる、様々なシステム・アクティビティを記録するために使用されている、ユビキタス・ソフトウェアである Log4j のセキュリティ脆弱性を修正するよう企業に警告している。

2021年12月に、汎用的な Java ロギング・パッケージである Log4j の深刻な脆弱性 CVE-2021-44228 が公表され、何百万もの消費者向け製品や、企業におけるソフトウェアおよび Web アプリケーションに深刻なリスクが生じている。この脆弱性を悪用する攻撃者は増加し、その攻撃対象も広がっている。

SEC の Spotlight が指摘するのは、Apache Log4j ソフトウェア・ライブラリに存在する、深刻なリモートコード実行の脆弱性が、積極的かつ広範囲に悪用されていることに、Cybersecurity and Infrastructure Security Agency (CISA) などが対応していることだ。

そこには、「Log4j は、セキュリティ/パフォーマンスの情報を記録するために、一般消費者向け、企業向けの各種サービス、Web サイト、アプリケーション、OT 製品において、非常に幅広く利用されている。認証されていないリモートの脅威アクターが、この脆弱性を悪用することで、システムを侵害/制御できる」と記されている。

その一方で、FTC が発表した警告は、既知の脆弱性にパッチを当てなかったことで、1億4700万人の消費者の個人情報を流出させた、Equifax のインシデントにも言及している。Equifax は、FTC/米国消費者金融保護局 (CFPB)/全米50州による訴訟を解決するために、$700 million の支払いに合意している。

クラウド・ネイティブなネットワーク・セキュリティ・サービスを提供する Valtix の Principal Security Researcher である Davis McCarthy は、「Log4j は、現代のソフトウェアの基盤に影響を与える、深く埋め込まれた脆弱性だ。このソフトウェアのユーザーは、ベンダーの公開状況を可視化できず、また、この脆弱性を適切に特定/修正するためのリソースを持ち合わせない可能性がある」 と説明している。

この脆弱性が公表されてから数週間が経過したが、いまだにパッチをリリースしていない、有名セキュリティ・ベンダーがあることを、同氏は指摘している。

FTC の警告:パッチが適用されない Log4j 脆弱性に対する法的措置

FTC は、Log4j 脆弱性によるリスクに対処できない組織を対象に、法的措置を取る可能性を提起している。FTC のブログ記事には、「 FTC は、Log4j や将来的における同様の脆弱性がもたらす結果として、消費者データが流出しないよう保護するための、合理的な措置を講じなかった企業を追求するために、法的権限をフルに行使するつもりだ。このソフトウェアのインスタンスを特定せず、パッチを適用しないことは、FTC 法に違反する可能性がある」と述べている。

FTC は、あらゆる組織に対して、CISA ガイダンスを参考にすべきだと述べている。つまり、Log4j ソフトウェア・パッケージを最新のバージョンに更新し、企業の慣行が法律に違反しないようにするための、是正措置を講じられていることを、確認すべきだとしている。また、このガイダンスでは、脆弱性が存在する可能性のあるプロダクト/サービスの、顧客への販売に関連する第三者の子会社に対しても、この情報を配布することを求めている。 

Davis McCarthy は、「FTC の警告は、ソフトウェア業界に緊急性をもたらすことを目的としている。Log4j にパッチを当てないことで悪用を許し、データ漏洩などの消費者被害につながる場合には、FTC 法に違反する可能性がある。SEC と FTC の警告は、情報システムが企業経営にとって重要であり、また、悪用された場合に一般市民に与える影響が大きいと、政府が理解していることを示している。Log4j のような深刻な脆弱性については、情報共有が重要だ。技術的な詳細が、IT 担当者と取締役会の間で共有されないことも多い」と述べている。

デジタル・リスク保護ソリューションを提供する Digital Shadows の Cyberthreat Intelligence Analyst である Stefano De Blasi は、Log4j に関する FTC の警告は、このセキュリティ脆弱性の深刻さを示すものだと付け加えている。彼は、「リスクベースのアプローチにより、問題が発生する可能性に対する、悪用の潜在的な影響の大きさを用いて、脆弱性はに測定されるべきだ。Log4j が、多数のサービスに影響を与え、リモートコード実行を許す可能性があることを考えると、この脆弱性は、ほぼ全ての分野で事業を展開している、多数の企業にとって重大なリスクとなっている」と述べている。

Stefano De Blasi は、政府機関による脆弱性のパッチ要求や警告を無視することは、組織が危険にさらされるリスクを、著しく高めるとも述べている。彼は、「人員不足のサイバー・セキュリティ・チームにとって、すべてのパッチを直ちに適用することは、実現可能な戦略とは言えない。しかし、脆弱性管理とインテリジェンスのソリューションを用いることで、修復作業の優先順位付けをサポートし、悪用可能な脆弱性が未パッチであるという状況を、放置することは避けられる」と述べている。彼の見解では、これらの警告は、重要な脆弱性をパッチ適用せずに放置することを、防ぐための重要なツールにもなり得るとのことだ。

Stefano De Blasi は、「2017年の Equifax 侵害のように、簡単に防ぐことができたはずなのに壊滅的な損害をもたらした、歴史的な出来事を企業に思い出させることになる。過失のある企業に対して、基本的なセキュリティ衛生習慣の重要性を、思い出させることになる。その一方で、以前に多くの政府機関が、同様の警告を発していたことを考えると、ビジネスの意思決定者に対して、今回の警告がもたらす具体的な効果については、議論の余地がある」と説明している。

文中で参照されている FTC の動向に関しては、1月4日の「FTC 警告:Log4J 攻撃から顧客データを保護しない企業に法的措置?」で紹介しましたが、今日の記事では Valtix と Digital Shadows のコメントも提供されています。また、SEC の Spotlight から参照可能な CISA の Stop Ransomware には、Ransomware 101/I’ve Been Hit By Ransomware!/Known Exploited Vulnerabilities Catalog といったコンテンツが提供され、とても有益な情報源となっています。よろしければ、ご参照ください。→ Log4j まとめページ


%d bloggers like this: