米連邦取引委員会(FTC)は企業に対し、「Apache Log4j」の脆弱性に対処するよう促している。適切な対策をとらない企業の責任を追及すると警告している。
提供:perinjo/ GETTY
FTCは米国時間1月4日、「Log4jや同様の既知の脆弱性による消費者データの漏えいを防ぐための妥当な措置を怠る企業について、FTCは法が定める権限を駆使して追及する考えだ」と述べた。
また、「このソフトウェアのインスタンスの特定とパッチを怠った場合、FTC法に抵触する可能性がある」としている。
FTCは、顧客データが漏えいした場合に起こる可能性のある事例として、米信用情報大手Equifaxの情報流出事件について触れている。Equifaxは2019年、約7億ドル(当時のレートで約750億円)を支払うことで合意した。
FTCは、「Log4jの脆弱性はより広範な構造的問題の一部だ。数え切れないほど多様なインターネット企業で使われている、無名かもしれないが極めて重要な数あるオープンソースサービスの1つだ」と指摘する。
「このようなプロジェクトは、ボランティアによって開発、保守されていることが多く、インターネットエコノミーに不可欠なプロジェクトであっても、インシデント対応と予防的な保守管理のためのリソースと人員が常に十分確保されているわけではない」
「FTCは、ユーザーのセキュリティを危険にさらす根本的な問題に取り組むにあたり、こうした力学全般を考慮に入れる」
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
