中国政府、ソフトウェア脆弱性情報を悪用か。Microsoft指摘 24
ストーリー by nagazou
悪用厳禁 部門より
悪用厳禁 部門より
中国政府は2021年に制定した法律で、企業がセキュリティー上の脆弱性を公表前に報告することをが義務づけているがこれを悪用しているらしいとの指摘が出ている。以前、アリババ・グループのクラウドサービス部門がlog4jの脆弱性を政府よりも先にApache Software Foundationに報告したことで処罰を受けたこともある。Microsoftが11月4日に硬化したリポートによれば、中国政府はこうした法律でで脆弱性に関する情報を収集、脆弱性を武器にすることで、ソフトウェアのパッチ未適用の穴を発見し、情報収集する能力の向上を計っているという(Microsoft Digital Defense Report 2022[PDF]、 News Center Japan、GIGAZINE)。
中国は米国からの圧力に対抗するため、スパイ行為や情報窃盗のサイバー攻撃を強化。今年の2月から3月には東南アジアの政府間組織が米国政府と地域の指導者の会合を開催すると発表をおこなったタイミングで、関連アカウント100個を標的に攻撃をしたとしている。また、ソロモン諸島と中国が軍事協定を締結した際も、ソロモン諸島政府のシステムやパプアニューギニアの通信ネットワークに情報収集目的で侵入したとされている。
中国は米国からの圧力に対抗するため、スパイ行為や情報窃盗のサイバー攻撃を強化。今年の2月から3月には東南アジアの政府間組織が米国政府と地域の指導者の会合を開催すると発表をおこなったタイミングで、関連アカウント100個を標的に攻撃をしたとしている。また、ソロモン諸島と中国が軍事協定を締結した際も、ソロモン諸島政府のシステムやパプアニューギニアの通信ネットワークに情報収集目的で侵入したとされている。
さすがのマイクロソフトも (スコア:1)
態度を硬化させているわけですね
> Microsoftが11月4日に硬化したリポートによれば
Re:さすがのマイクロソフトも (スコア:2)
なので、CD-ROMで提出したのかと、思いました(^^;
Re: (スコア:0)
>さすがのマイクロソフトも >態度を硬化させているわけですね
MicroHard?
#自己紹介ではありません。念の為に。
どうせやるんなら (スコア:1)
穴を使うスキルより、穴を探すスキルを伸ばせよ。
Re: (スコア:0)
以下えっち禁止
Re: (スコア:0)
これに「おっそうだな」と平然と同意できるエンジニアがどれだけいるのかな。
米中の違い (スコア:0)
政府がメーカーに穴開けを要求するか、開いてる穴の情報を探し出して活用するかの違いでしかない気がする。
日米の違い (スコア:0)
英語版Wikipediaでは、security holeは Vulnerability (computing) [wikipedia.org]にジャンプするが、
日本語版Wikipediaでは、セキュリティホール [wikipedia.org]と脆弱性 [wikipedia.org]が別エントリ(記述も別)なわりに、
互いの記事で「脆弱性/セキュリティホールともいう(呼ばれる)」と説明し合っている。
…どっちかにエントリまとめろや!
ちなみに、英語版では、
Vulnerability (computing)と、
Re: (スコア:0)
違いとは言うけど、アメリカに関して言えば、
「政府が穴を要求した」こともあるし
「政府が穴を見つけて悪用していた」こともあるし、
「政府が穴を仕込んでいた」こともあるので、
中国と何が違うのか分からないのですが。
Re: (スコア:0)
制度化している点、制度に従わない場合罰則を受ける点
ちゃんと法律作ってやるとか偉い (スコア:0)
NSAも少しは見習ったらどう?
中国政府以外は? (スコア:0)
中国以外でも、いわゆる「軍事大国」とされる国は、大量のゼロデイ脆弱性を公表・通報せずに保有して、
いつでも攻撃に使えるように準備してるとおもう
Re: (スコア:0)
脆弱性を見つけたら一番に政府に届けなくてはいけないなんて法律を中国以外でも制定している国があるのだろうか?
Re: (スコア:0)
報奨金次第じゃない?
政府がケチった場合,バグバウンティとして報告されるんじゃない?
Re: (スコア:0)
露骨に大規模に動いているのが中国で、そのためそれなりに裏が取れてるってところじゃないかな。
まあサイバー攻撃は既知にしろ未知にしろ脆弱性の知識が無きゃできないよね。
Re: (スコア:0)
内通している人に手引してもらうものだと思っていた
Re: (スコア:0)
ソースを見ると裏を取れているとも言い難いような……「可能になったおそれがある」とかほとんど言い掛かりに近い
Re: (スコア:0)
あなたが知らないだけで、露骨にサイバー攻撃をやっているのはアメリカも同じですよ。
アメリカは中国に対してより、イランに対して積極的ですね。
イランの原発で過酷事故を起こさせようとするような悪質にもほどがあるようなテロ攻撃です。
そういう攻撃にさらされているので、イランのサイバー攻撃に対する防御力はすごく高くなってる。
Re: (スコア:0)
中国の言い分がまさにこれですね
何を目的としてるかと言う点を隠す為に彼らがよく使う手です
Re: (スコア:0)
ああ、知らないですね。可能性は重々承知していますが、知っていると言える方が不思議だと思いますね。
Re: (スコア:0)
軍事大国と言われる国の中でも、日本だけはその能力持ってないです。
理由はスキルが不足してるから。
お金がないわけじゃない。
Re:中国政府以外は? (スコア:1)
発見者を逮捕される前例があって俺もそれは嫌なので、
別の国のIPアドレスから匿名で開発元に報告してますよ。
表上はスキルがないと油断させておくのも戦略ですね。
Re: (スコア:0)
セキュリティ記事をウイルスとして検察が略式起訴
アラートループ事件
5年以内に絞ってもこんなのがまかり通る国ですから仕方ないですね。
Re: (スコア:0)
アメリカでも同じですよ
https://news.yahoo.com/missouri-governor-calling-criminal-charges-144514828.html