中国政府が新たな脆弱性開示ルールを策定:ベンダーにとって厄介なルールが追加

news

中国政府は2021年7月14日、国内での脆弱性情報の開示手続きについて、より厳格なルールを定めた新規則を発表しました。

この新しい規則には、ベンダーが修正プログラムをリリースする前に、セキュリティ研究者がバグの詳細を開示することを防止するための制限やバグ報告から2日以内に国家機関にバグの詳細を開示することの義務化などの条項が含まれています。

工业和信息化部国家互联网信息办公室公安部关于印发网络产品安全漏洞管理规定的通知-中共中央网络安全和信息化委员会办公室

中国サイバー空間管理局(CAC)が発行した「ネットワーク製品のセキュリティ脆弱性管理に関する規定」の主なポイントは以下の通りです。

  • 第4条:個人や組織がネットワーク製品のセキュリティ脆弱性に関する情報を収集、販売、公開することを違法とする。
  • 第5条:組織やネットワーク事業者は、脆弱性の報告を受けるための設定と、少なくとも6ヶ月間のログの保管を義務付ける。
  • 第7条の(2):すべての脆弱性報告は、2日以内に産業・情報技術省(MIIT)に報告しなければならない。
  • 第7条(3)項:ネットワーク事業者および製品ベンダーに対し、報告された脆弱性に対する報奨金制度を設けることを奨励する。
  • 第9条(1):ベンダーがパッチをリリースする前に、セキュリティ研究者がバグの詳細を公開することを禁止する。公開の例外については、MIITの承認を得て交渉することができる。
  • 第9条(3)項:セキュリティ研究者がセキュリティ上の欠陥に関連するリスクを誇張したり、脆弱性を利用してベンダーを脅迫したりすることを禁止している。
  • 第9条(4)項 第9条(4):脆弱性を悪用してネットワークを危険にさらすプログラムやツールを公開することを禁止する。
  • 第9条(7)項:脆弱性の詳細をネットワーク製品提供者以外の海外の組織や個人に開示することを禁止する。
  • 第10条:すべてのネットワーク事業者および製品ベンダーに対し、脆弱性報告プラットフォームをMIITに登録することを義務付ける。
  • 新規則では、報告された脆弱性に対するパッチをリリースしないベンダー、脆弱性報告を収集しながらプラットフォームのセキュリティを確保しない組織、セキュリティ研究者やパッチのない脆弱性を悪用する者に対する罰則も記載されている。

業界の専門家を悩ませる新ルール

ワシントンにあるサイバーセキュリティのシンクタンク「Silverado Policy Accelerator」の会長であるドミトリー・アルペロビッチ氏は、「この法律は、責任を持って脆弱性情報を公開した場合の罰則を法律で規定したもので、規定のプロセスに従わない研究者に対しては、公安省を通じて法執行機関が罰則を科すと脅しています。

アルペロビッチ氏は、発見後2日以内に脆弱性の技術的詳細をすべてMIITに報告するという要件を、「この法律の最も厄介な部分」と表現しました。

Luta Security社の創業者兼CEOで、バグバウンティや脆弱性開示業界の先駆者の一人であるKatie Moussouris氏も、この要件について警告を発しています。

「この条項の最大の問題点は、他の国がセキュリティ研究者に同じ要件を課し始めることです。脆弱性を発見してから2日以内に当局に通知することは、パッチが当てられていない脆弱性データを集約する上でリスクを伴います。」とMoussourisは述べています。

Luta Securityの創業者兼CEOであるKatie Moussourisは、過去数年間中国のセキュリティ研究者と協力してきた欧米のバグバウンティープラットフォームについても問題視しています。

「欧米のバグバウンティープラットフォームが、中国の研究者からバグレポートを合法的に受け取り続けるために、レポートを受け取ってから2日以内に脆弱性データを省に引き渡すことが求められると考えざるを得ません。中国人研究者がプラットフォームを介してバグを提出するVDP(脆弱性開示プログラム)やバグバウンティプログラムにおいて、たとえ中国以外の企業であっても、事実上、中国政府に直接つながるバックドアを導入することになります」と述べています。

この新しい脆弱性開示規制は、2021年9月1日から施行される予定です。

セキュリティ研究者やセキュリティ企業が中国の国家機関と脆弱性の詳細を共有する必要があるという規定は、少なくとも2020年から知られており、公開されています。

この新規則は、中国のサイバーセキュリティ態勢を強化するための北京の協調的な取り組みの一環です。

先週、北京政府は新しいサイバーセキュリティ法を発表し、100万人以上のユーザーにサービスを提供している中国企業は、海外で株式を上場する前にセキュリティ監査を受けなければならないことを義務付けました。

2017年と2018年に発表されたRecorded Future社のレポートによると、中国国家安全部は重要なバグを公開された脆弱性データベースに掲載するプロセスを遅らせており、過去のレポートで脆弱性の開示内容を一部変更していたことがわかりました。

China Altered Public Data to Conceal MSS Influence | Recorded Future
CNNVD altered the original publication dates in its public database for at least 267 vulnerabilities we identified as statistical outliers in our research publi...

Comments

タイトルとURLをコピーしました