米国連邦取引委員会(FTC: Federal Trade Commission)は1月4日(米国時間)、「FTC warns companies to remediate Log4j security vulnerability|Federal Trade Commission」において、Apache Log4j 2.x(以下、Log4j 2)を使用している企業に対して、通称「Log4Shell」と呼ばれるCVE-2021-44228をはじめとする一連の脆弱性に対処するよう注意喚起を促した。この中で、消費者の情報を保護するための適切な措置を講じない企業に対し、法的処置を取る可能性があると警告している。
FTCの警告は、Log4j 2の脆弱性がサイバー犯罪グループに積極的に悪用されていることに対して、組織のインフラの保護を促すことを目的として発表されたもの。この脆弱性によってシステムが侵害されると、消費者の個人情報を含む機密情報の流出や、ランサムウェアなどによる経済的な損失、業務が継続できなくなる危機など、致命的な損害を被る危険性がある。
企業には、これらのリスクを軽減するために合理的な措置を講じる義務があるとして、特に連邦取引委員会とグラム・リーチ・ブライリー法に言及している。その上で、「FTCは、Log4jまたは同様の既知の脆弱性から消費者の情報を保護するための合理的な措置を講じることができない企業を追跡するために、その完全な法的権限を使用する予定です」と宣言した。
FTCでは、Log4j 2を使用しているかどうかを確認し、適切に影響を軽減するために、国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が公開している次のガイダンスを参照するようにアドバイスしている。
CISAでは、米国の民間行政機関に対して、Log4j 2の脆弱性への対処を命じる「緊急指令22-02」を発令している。
この緊急指令では、2021年12月23日までにLog4j 2の脆弱性の影響を受けるシステムに対し、2021年12月23日までに緩和策を講じること、そして同12月28日までに影響を受けるすべてのソフトウェアアプリケーションを報告することが要求されていた。