Benchmarks Brawte nfaq 0 Comments

中国の情報セキュリティ研究者は北京の指示に従い、脆弱性の報告を停止した... 本当にそうなのか?

Table of Contents

中国の情報セキュリティ研究者は北京の指示に従い、脆弱性の報告を停止した... 本当にそうなのか?

シンクタンク「アトランティック・カウンシル」の調査によると、中国の情報セキュリティ研究者らが提出した脆弱性報告の数は激減しているが、それと比例して、不明なソースからのバグ報告が奇妙なほど増加していることも判明した。

同評議会は、2021年に導入された「ネットワーク製品のセキュリティ脆弱性管理に関する規則」(RMSV)を背景に、中国の情報セキュリティ研究の現状を調査した。この規則では、国内の研究者は発見した脆弱性を地方当局に報告することが義務付けられている。The Registerが報じているように、この規則の目的は、中国政府が戦略的または攻撃的な作戦に利用できる脆弱性を蓄積することを可能にすることにある可能性がある。中国の研究者による国際的な情報セキュリティコンテストへの参加禁止も、同様の理由から課されたと考えられている。

同評議会は、この問題に関する「ドラゴンテイル:国際的なサイバーセキュリティ研究の保存」と題する論文の中で、中国の情報セキュリティ研究者は多作かつ有能であり、アリババによるLog4Jのバグ検出は彼らの素晴らしい研究の好例であると指摘している。

緑色の文字と中国の国旗が表示されているコンピュータ端末を調べている人

中国がネットワークのゼロデイ脆弱性をすべて1つの巨大なデータベースにまとめ、誰も侵入しようと思わないようにしているのは素晴らしいことだ

続きを読む

しかし、この文書には、アリババがApache Foundationに脆弱性を開示したとして中国当局から制裁を受けたことも記されている。そのため、同評議会のチームは、脆弱性報告の共有を阻止するという中国の規制が国際社会に悪影響を及ぼしているかどうかの調査に着手した。

そのために、研究者らは、Microsoft、Apple、VMware、F5、Red Hat などの組織からのバグレポートを調査しました。これらの組織は、報告した脆弱性の原因を具体的に挙げています。

この方法では、マイクロソフトに届く中国からの脆弱性報告が大幅に減少したが、同時に「個人、国名が不明な企業、またはまったく謝辞のない企業にタグ付けされた投稿が、同様の規模と重要性で増加した」ことも判明した。

同評議会の研究者らは、中国の研究者らが匿名でバグを明らかにした可能性を示唆していると推測している。

Red Hatでは、中国からのバグ報告は2021年よりかなり前から減少し、それ以降も低い水準を維持しています。論文の著者らは、これは中国がオープンソースプロジェクトをフォークし、海外で開始された取り組みへの調査に費やす時間が少なくなっていることが原因ではないかと考えています。

すべてのベンダーと技術に共通して観察された顕著な傾向は、2020年7月、米国商務省が貿易制裁対象企業のエンティティリストに同社を追加した直後、中国のセキュリティ企業Qihoo 360がバグレポートからほぼ消えたことだ。

また、Qihoo 360 が制裁を受けてから間もなく、匿名のバグ報告が増加した。

  • VMwareは、中国のホワイトハットハッカー集団で発見された重大なハイパーバイザーのバグを公開。その一つは、ゲストがホスト上でコードを実行できるというものだった。
  • Log4j RCE: 広く使用されているログユーティリティの重大な認証不要のコード実行ホールを塞ぐ緊急パッチがリリースされました
  • 中国は、国内のウェブ大手34社に独占的行為の「自主的な是正」を要求している。

論文は、RMSV が目に見える影響を及ぼしており、同様の法律が他の場所で可決された場合、「研究者コミュニティの重要なサブセットが、脆弱性開示のより大規模な世界的供給から潜在的に孤立する可能性がある」と結論付けている。

「こうした恐怖と分裂は、すでに緩和が困難な状況にさらなるリスクを加えるだけだ」と論文は付け加えている。

したがって、評議会は行動を求めます。

「米国とその同盟国は、Log4Shellの開示を、脆弱性開示の世界的な供給規模と回復力を向上させるための行動喚起と捉えるべきである」と報告書は断言する。「各国における脆弱性研究の改善に向けた国内法改正は有益だが、潜在的な供給ショックの戦略的影響に対処するには不十分である。」

そのため、著者らは、国境を越えた情報共有を可能にするために脆弱性開示に関する法律を調和させること、オープンソースの脆弱性調査ツールへの国際的な投資、そして情報開示の傾向を追跡してギャップを発見することを推奨しています。その他の提案としては、匿名の脆弱性報告を促進する国際的なプロセスの確立、重要なソフトウェアの研究を奨励するための国家レベルのバグ報奨金プログラムの活用などが挙げられます。

この報告書は、アリババが「RMSV やその他の法的背景にもかかわらず、また明らかな営利目的もなく」Log4J を発見し報告したことからもわかるように、情報セキュリティ研究者は一般に倫理的に行動するという楽観的な見解で締めくくられています。

「セキュリティエコシステム全体に広がるこのような関係は、維持する価値のあるものです。」®

Benchmarks

Smart Recommendations

Discover More