中国は、国家の情報セキュリティバグ報告プロセスにおける諜報機関の影響を隠すため、公開されている脆弱性データを改ざんした。
脅威情報会社 Recorded Future によるこの非難に値する発見は、中国の国家脆弱性データベース (CNNVD) の公開速度を調査した数か月にわたる調査の結果である。
レコーデッド・フューチャーは調査の過程で、中国には、CNNVDに公開する前に、脅威度の高い脆弱性が諜報活動で運用上の有用性があるかどうかを評価するメカニズムがあることを発見したと述べた。
Recorded Futureは、CNNVDがこの評価プロセスを隠蔽する目的で、注目度の高い脆弱性のいくつかの最初の公開日を変更したことを発見したと述べた。
脅威情報企業CNNVDによる以前の調査では、 The Registerが以前報じたように、中国政府の脆弱性報告は米国政府よりも概して迅速であることが明らかになった。CNNVDは、幅広い情報源から情報を収集しているため、ある程度まではより迅速かつ包括的である。
米国政府の国家脆弱性データベース (NVD) はベンダーからの提出に依存しています。
Recorded Future は、この一般規則が、Recorded Future の調査の初期段階で統計的な外れ値として特定された、影響の大きい脆弱性やエクスプロイトが利用可能な脆弱性の場合には破られていることを発見しました。
レジスター誌は、レコーデッド・フューチャー社の戦略的脅威開発担当ディレクターで、同社の最新レポートの共著者でもあるプリシラ・モリウチ氏に話を聞いた。モリウチ氏によると、この遅れは数日から数週間に及ぶことがあり、極端な例では、脆弱性に関するレポートが発表の8か月以上前に公表されることもあるという。
「(米国の)NVDは、影響の大きい脅威を、それほど深刻ではない脆弱性よりも迅速に報告しますが、中国ではその逆です」と森内氏は述べた。「中国は、既知のエクスプロイトが存在する脆弱性の公開も比較的遅いのです。」
Recorded Futureは、CNNVDには正式な脆弱性評価プロセスがあり、公開前に国家安全部(MSS)が運用上の有用性を評価するために脅威度の高いCVEにアクセスすると主張した。
「(この)公表の遅れは、MSSがサイバー攻撃作戦で利用しようと考えていた脆弱性を特定する方法の一つだった。CNNVDによるこれらの日付の露骨な操作は、この評価を暗黙的に裏付けている」とRecorded Futureは主張した。
![中国の脆弱性データベース、Microsoft Office の脆弱性の公開日を遡って記録 ― その 1 [出典: Recorded Future]](https://image.brawte.com/anejbkmn/32/4c/china_vuln_1a.webp)
クリックして拡大: Microsoft Office の脆弱性の公開日を遡及する - その 1 [出典: Recorded Future]
![中国の脆弱性データベース、Microsoft Office の脆弱性の公開日を遡る - 第二弾 [出典: Recorded Future]](https://image.brawte.com/anejbkmn/b4/bf/china_vuln_2.webp)
クリックして拡大: Microsoft Office の脆弱性の公開日を遡及する - 2 回目 [出典: Recorded Future]
Recorded Futureによると、CNNVDは公開データベースにおいて、少なくとも267件の脆弱性について元の公開日を改ざんしていました。特に注目を集めた事例の一つ(上記のスクリーンショットを参照)は、Microsoft Officeの脆弱性であり、後に中国のAPTグループがロシアと中央アジアの金融業界アナリストを標的にする際に利用されました。
もう 1 つ (ここでは引用されていないが、RF のブログ記事で取り上げられている) は、Android ソフトウェアのファームウェアの脆弱性に関するもので、特に家庭内監視に便利なバックドアを提供する可能性がありました。
「CNNVDは、これらの統計的外れ値に関する元の発表日を遡及的に変更することで、この評価プロセスの証拠を隠し、国家安全部がどの脆弱性を利用しているかをわかりにくくし、研究者が中国のAPT(国家支援ハッキング)行為を予測するために使用できる方法を制限しようとした」と同社は述べた。
この脆弱性データの「大規模な操作」は、CNNVD プロセスへの信頼を損ない、情報セキュリティ脅威情報を中国の機関のみに依存するセキュリティ活動に危険を及ぼす可能性があります。
中国の脆弱性データベースは国家安全省と同じ建物にあるんだ。うーん。
「CNNVDは場合によっては(他の情報源よりも)包括的だが、信頼することはできない」と、レコーデッド・フューチャーに入社する前に国家安全保障局の東アジア太平洋サイバー脅威対策室を率いていた森内氏は警告した。
CNNVDは独自のウェブサイトを保有しているが、MSSとは名ばかりの別組織であるようだ。北京ではMSSと建物を共有している。「MSSは単なる対外情報機関ではなく、大規模で、おそらくより重要な国内情報活動も担っているため、これは重要な点だ」とRecorded Futureは指摘している。
CNNVD による脆弱性公開データの明らかな操作は、最終的には隠蔽以上のものを明らかにすることになる、と研究者らは述べた。
Recorded Futureの以前の調査では、中国には、高脅威の脆弱性をCNNVDに公開する前に、諜報活動における運用上の有用性を評価するプロセスがあったことが明らかになりました。Recorded Futureはこの分析を再検討した結果、CNNVDがこの評価プロセスを隠蔽しようと、当初の脆弱性公開日を遡って改ざんしていたことを発見しました。
中国で最近制定されたサイバーセキュリティ法(CSL)は、中国で事業を展開する企業に対し、「ネットワークセキュリティインシデント」に対して法的および財政的に責任を負う「階層型ネットワークセキュリティ保護システム」を採用することを義務付けている。
外国の多国籍企業が CSL のすべての規定を遵守することは、(事実上)中国の安全保障および諜報機関と協力することを意味します。®
