パスワードを忘れた? アカウント作成
16112400 story
バグ

中国政府、ソフトウェア脆弱性情報を悪用か。Microsoft指摘 24

ストーリー by nagazou
悪用厳禁 部門より
中国政府は2021年に制定した法律で、企業がセキュリティー上の脆弱性を公表前に報告することをが義務づけているがこれを悪用しているらしいとの指摘が出ている。以前、アリババ・グループのクラウドサービス部門がlog4jの脆弱性を政府よりも先にApache Software Foundationに報告したことで処罰を受けたこともある。Microsoftが11月4日に硬化したリポートによれば、中国政府はこうした法律でで脆弱性に関する情報を収集、脆弱性を武器にすることで、ソフトウェアのパッチ未適用の穴を発見し、情報収集する能力の向上を計っているという(Microsoft Digital Defense Report 2022[PDF] News Center JapanGIGAZINE)。

中国は米国からの圧力に対抗するため、スパイ行為や情報窃盗のサイバー攻撃を強化。今年の2月から3月には東南アジアの政府間組織が米国政府と地域の指導者の会合を開催すると発表をおこなったタイミングで、関連アカウント100個を標的に攻撃をしたとしている。また、ソロモン諸島と中国が軍事協定を締結した際も、ソロモン諸島政府のシステムやパプアニューギニアの通信ネットワークに情報収集目的で侵入したとされている。
  • by Anonymous Coward on 2022年11月10日 17時25分 (#4357895)

    態度を硬化させているわけですね

    > Microsoftが11月4日に硬化したリポートによれば

    ここに返信
  • 穴を使うスキルより、穴を探すスキルを伸ばせよ。

    ここに返信
    • by Anonymous Coward

      以下えっち禁止

    • by Anonymous Coward

      これに「おっそうだな」と平然と同意できるエンジニアがどれだけいるのかな。

  • by Anonymous Coward on 2022年11月10日 17時22分 (#4357894)

    政府がメーカーに穴開けを要求するか、開いてる穴の情報を探し出して活用するかの違いでしかない気がする。

    ここに返信
    • by Anonymous Coward

      英語版Wikipediaでは、security holeは Vulnerability (computing) [wikipedia.org]にジャンプするが、
      日本語版Wikipediaでは、セキュリティホール [wikipedia.org]と脆弱性 [wikipedia.org]が別エントリ(記述も別)なわりに、
      互いの記事で「脆弱性/セキュリティホールともいう(呼ばれる)」と説明し合っている。

      …どっちかにエントリまとめろや!

      ちなみに、英語版では、
      Vulnerability (computing)と、

    • by Anonymous Coward

      違いとは言うけど、アメリカに関して言えば、

      「政府が穴を要求した」こともあるし
      「政府が穴を見つけて悪用していた」こともあるし、
      「政府が穴を仕込んでいた」こともあるので、

      中国と何が違うのか分からないのですが。

      • by Anonymous Coward

        制度化している点、制度に従わない場合罰則を受ける点

  • by Anonymous Coward on 2022年11月10日 17時25分 (#4357896)

    NSAも少しは見習ったらどう?

    ここに返信
  • by Anonymous Coward on 2022年11月10日 17時34分 (#4357899)

    中国以外でも、いわゆる「軍事大国」とされる国は、大量のゼロデイ脆弱性を公表・通報せずに保有して、
    いつでも攻撃に使えるように準備してるとおもう

    ここに返信
    • by Anonymous Coward

      脆弱性を見つけたら一番に政府に届けなくてはいけないなんて法律を中国以外でも制定している国があるのだろうか?

    • by Anonymous Coward

      報奨金次第じゃない?
      政府がケチった場合,バグバウンティとして報告されるんじゃない?

    • by Anonymous Coward

      露骨に大規模に動いているのが中国で、そのためそれなりに裏が取れてるってところじゃないかな。
      まあサイバー攻撃は既知にしろ未知にしろ脆弱性の知識が無きゃできないよね。

      • by Anonymous Coward

        内通している人に手引してもらうものだと思っていた

      • by Anonymous Coward

        ソースを見ると裏を取れているとも言い難いような……「可能になったおそれがある」とかほとんど言い掛かりに近い

      • by Anonymous Coward

        あなたが知らないだけで、露骨にサイバー攻撃をやっているのはアメリカも同じですよ。

        アメリカは中国に対してより、イランに対して積極的ですね。
        イランの原発で過酷事故を起こさせようとするような悪質にもほどがあるようなテロ攻撃です。

        そういう攻撃にさらされているので、イランのサイバー攻撃に対する防御力はすごく高くなってる。

        • by Anonymous Coward

          中国の言い分がまさにこれですね
          何を目的としてるかと言う点を隠す為に彼らがよく使う手です

        • by Anonymous Coward

          ああ、知らないですね。可能性は重々承知していますが、知っていると言える方が不思議だと思いますね。

    • by Anonymous Coward

      軍事大国と言われる国の中でも、日本だけはその能力持ってないです。
      理由はスキルが不足してるから。

      お金がないわけじゃない。

      • by Anonymous Coward on 2022年11月11日 10時47分 (#4358236)

        発見者を逮捕される前例があって俺もそれは嫌なので、
        別の国のIPアドレスから匿名で開発元に報告してますよ。
        表上はスキルがないと油断させておくのも戦略ですね。

        • by Anonymous Coward

          セキュリティ記事をウイルスとして検察が略式起訴
          アラートループ事件

          5年以内に絞ってもこんなのがまかり通る国ですから仕方ないですね。

          • by Anonymous Coward

            アメリカでも同じですよ
            https://news.yahoo.com/missouri-governor-calling-criminal-charges-144514828.html

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...