同庁は、Log4jの脆弱性に対して合理的な措置を講じない企業に対しては、その法的権限を全面的に行使すると警告している。
米国連邦取引委員会は、これに従わない企業を追跡すると警告を発した。 脆弱性を修正する Java ログ パッケージ Log4j 内。
「FTCは、法的権限を全面的に行使して、合理的な措置を講じない企業を追及するつもりだ」 Log4j または将来の同様の既知の脆弱性による暴露から消費者データを保護します。」 代理店 火曜日に言った.
「このソフトウェアのインスタンスを特定してパッチを適用しないと、FTC 法に違反する可能性があります。」
同庁が引用したのは、 7億ドルの和解金 顧客データが漏洩した場合に何が起こるかを示す例として、2019 年の Equifax を例に挙げました。
「Log4j の脆弱性は、広範な構造的問題の一部です。 これは、無数に近いさまざまなインターネット企業で使用されている、知られていないものの非常に重要な数千のオープンソース サービスの 1 つです」と FTC は述べています。
「これらのプロジェクトはボランティアによって作成および維持されることがよくありますが、彼らは常に十分なリソースとリソースを持っているわけではありません。 プロジェクトがインターネットにとって重要であるにもかかわらず、インシデント対応とプロアクティブなメンテナンスを担当する人員 経済。
「この全体的な動きは、ユーザーのセキュリティを危険にさらす根本的な問題に対処するためにFTCが検討するものです。」
火曜日初め、マイクロソフトは、人々はこのウイルスがどれほど広範囲に広がっているかを認識していない可能性があると述べた。 Log4Shell の問題 が彼らの環境内に存在しており、これを悪用する試みは 2021 年末まで依然として高いと警告しました。
「この時点で、顧客はエクスプロイトコードとスキャン機能が広範に利用可能であることは現実であり、自社の環境に危険をもたらすものであると想定する必要がある」とソフトウェア大手は述べた。
「多くのソフトウェアとサービスが影響を受けており、更新のペースを考慮すると、修復には長い時間がかかることが予想され、継続的で持続可能な警戒が必要です。」
クラウドフレア 警告された 先月、同社は12月1日の時点でリモートコードエクスプロイトに関連する活動を検出していた。つまり、この脆弱性は公表される前に少なくとも9日間存在していたということになる。
もっと見る Log4j
- Log4j ゼロデイ: 自分自身を守る方法
- Apache が新しい 2.17.0 パッチをリリース
- セキュリティ会社が新たな攻撃ベクトルを発見
- 尋ねるべき10の質問
- 政府が Log4j アドバイザリをリリース
- これまでのところ、企業ネットワークのほぼ半数が攻撃されています
- 米国: 数億台のデバイスが危険にさらされている