国家による脆弱性報告政策が生む分断 | ScanNetSecurity
2024.03.19(火)

国家による脆弱性報告政策が生む分断

 シンクタンクの The Atlantic Council の調査によると、中国の情報セキュリティ研究者が提供する脆弱性情報の数が急激に減少している。また、同調査では、奇妙なことに、その減少を補うように、不明な情報源からのバグ報告が増加していることも判明している。

国際
国が決めたルールに違反してまで報告された脆弱性(画像はイメージです)

 シンクタンクの The Atlantic Council の調査によると、中国の情報セキュリティ研究者が提供する脆弱性情報の数が急激に減少している。また、同調査では、奇妙なことに、その減少を補うように、不明な情報源からのバグ報告が増加していることも判明している。

 The Atlantic Council は、2021 年の「ネットワーク製品のセキュリティ脆弱性管理に関する規定」(RMSV)の施行を受けて、中国における情報セキュリティ研究について調査を行った。同規定は、中国国内の研究者に対して、発見したあらゆる脆弱性を中国の機関に報告するよう義務付けるものだ。The Register が既に報じている通り、この規制の目的とは、中国政府が脆弱性情報を蓄積し、戦略的、または攻撃的な作戦において悪用可能にすることである可能性がある。また、中国の研究者は国際的な情報セキュリティコンペに出場できなくなっているが、この規制の導入理由も同様だったと考えられている。

 The Atlantic Council は、この問題に関する報告書「竜の尾:国際サイバーセキュリティ研究の維持」において、中国の情報セキュリティ研究者は有能であり数多くの脆弱性を見つけ出していると指摘している。その有能な見つけ出しぶりの好例として、Alibaba による Log4Jバグの発見が挙げられる。

 しかし、この報告書によれば、Alibaba はこの問題を Apache Foundation に開示したことで、中国当局から制裁を受けたとのことだ。そのため、The Atlantic Council のチームは、中国が脆弱性報告の共有を禁じていることによって、世界のコミュニティに悪影響が生じているかどうかを調査することにした。


《The Register》

編集部おすすめの記事

特集

国際 アクセスランキング

  1. 善意目的でスパム46万通、慈善団体が当局からお目玉

    善意目的でスパム46万通、慈善団体が当局からお目玉

  2. NIST CSF 2.0 リリース ~ 新たに追加された 6 番目の機能の役割

    NIST CSF 2.0 リリース ~ 新たに追加された 6 番目の機能の役割

  3. そのセキュリティ専門家は「ニセ サイバーサマリア人(善人のふりをした悪人)」ではありませんか? 九つの特徴

    そのセキュリティ専門家は「ニセ サイバーサマリア人(善人のふりをした悪人)」ではありませんか? 九つの特徴

  4. 米国当局がStuxnetは米国とイスラエルの共同作戦だったことを認める〜ああ、そうですか、でもどうして私たちに言うんですか大統領閣下?(The Register)

  5. GDPR 遵守コスト:中小企業 170 万ドル、大企業 7,000 万ドル ~ 全米経済研究所レポート

  6. 486件所有 中には2006年物熟成も ~ 資金と時間に恵まれたサイバー犯罪者の手法「ドメイン熟成」

  7. クラウドさん 魔法でも救世主でもなく料金も高いことが完全にバレる ~ 脱クラウドの取り組みも

  8. CrowdStrike Blog:APT 攻撃に立ち向かう~世界のサイバー攻撃者リスト

  9. 考察:高等教育はセキュリティの仕事の役に立つか?

  10. BCCメール誤送信、罰金150万円

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×