米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告

Javaで書かれた広く使われているログ記録ライブラリApache Log4jには、Log4Shellと通称されるゼロデイ脆弱性がある。連邦取引委員会（FTC）はこのほど、Log4Shellに対して顧客データのセキュリティを確保していない米国企業に対しては法的措置をとると警告した。
2021年12月に初めて発見されたこの「深刻な」脆弱性は、ますます多くの攻撃者によって悪用されており、何百万もの消費者製品に「深刻なリスク」をもたらすと、FTCは警告している。この公開書簡は、消費者に被害が及ぶ可能性を低減し、法的措置の可能性を回避するために、組織に対して脆弱性を緩和（ソフトウェアの最新バージョンへのアップデート）するよう組織に要請しています。
関連記事：iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる
「脆弱性が発見され悪用された場合、個人情報の紛失・漏洩、金銭的損失、その他取り返しのつかない損害を被る危険性がある。既知のソフトウェアの脆弱性を軽減するために合理的な措置を講じる義務は、特に連邦取引委員会法およびグラム・リーチ・ブライリー法を含む法律に関係するものである。 Log4jに依存している企業やそのベンダーが、消費者に被害を与える可能性を減らし、FTCの法的措置を回避するために、今すぐ行動することが重要だ」とFT

リンク元