Alibaba CloudがLog4jの脆弱性を中国政府に「最初に」報告しなかったとして連携停止処分というデマについて

2021年12月24日 13:40

Alibaba Cloud（アリババ）のセキュリティチームが見つけた「Apache Log4j」の脆弱性を中国当局に報告しなかったとして6カ月の提携停止処分になった件を巡って、根拠のない記事や邪推の流布が観測されている。

脆弱性報告を中国政府に先にすることが強制されてるの。
どう考えてもリモート脆弱性を中国だけが使えるサイバー攻撃の手段としておきたいという意図しか見えないので、もうすこし大義名分というかオープンソース貢献の建前を立てておかないとアカンやつでは？
— ǝunsʇo ıɯnɟɐsɐɯ / メタバース炎上対策専門家 (@otsune) December 23, 2021

GIGAZINEはSouth China Morning Postが報じた内容を元に『「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ』と題した記事を配信しているが、問題はこの「最初に」というくだりの真偽だ。

今年9月に発効した中国の「ネットワーク製品のセキュリティ脆弱性の管理に関する規則」（原題：网络产品安全漏洞管理规定）第7条では、脆弱性情報を2日以内に当局へ報告する義務が定められている（起算日基準不明）。

（1）提供されたネットワーク製品のセキュリティ脆弱性を発見または学習した後、直ちに対策を講じ、セキュリティ脆弱性の検証を組織して、セキュリティ脆弱性の程度と範囲を評価します。上流のセキュリティ脆弱性については製品またはコンポーネントについては、関連する製品プロバイダーに直ちに通知するものとします。（Google翻訳）

（2）関連する脆弱性情報は、2日以内に工業情報化部のサイバーセキュリティ脅威および脆弱性情報共有プラットフォームに報告する必要があります。提出物の内容には、製品名、モデル、バージョン、およびネットワーク製品にセキュリティの抜け穴がある脆弱性の技術的特性、害、および範囲を含める必要があります。（Google翻訳）

Alibaba Cloudはこの「2日以内」という報告期限を超過してしまったのだが、「最初に」当局へ報告する義務は定められていない。また関連する製品プロバイダーに脆弱性情報を通知することも勧奨されており、隠蔽する意図も読み取れない。South China Morning Postが指摘するような「中国工業省は政府にバグを最初に報告しなかったことを理由にAlibaba Cloudとの提携を取り止めました」「新しい法律は中国企業が最初に政府に通知することを奨励しています」といった見出しとは齟齬がある。

実際ロイターなど他のメディアでは「最初に」当局へ報告しなかったことが原因だとは書かれていないため、これはSouth China Morning Post発のデマである可能性が非常に高い。それがGIGAZINEを通じて日本に広まったことで、世間で「中国政府は脆弱性を秘密裏に共有しサイバー攻撃に使うつもりだったのではないか」といった無駄な邪推を生んでいるように思えてならない。

報告された脆弱性情報を中国がサイバー攻撃に使うかはともかく、サイバー防衛のために情報共有が重要なのは世界中どの国も同じである。中国当局とAlibaba Cloudは情報共有パートナーシップを結んで脆弱性情報を共有していたわけだが、同様の仕組みは日本にもある。

今回の場合、Log4jの修正作業を行っている最中にゼロデイ攻撃が観測されており、迅速に情報共有がされていればファイアウォールで攻撃を緩和できていた可能性もある。そうした意味では中国当局が怒るのも無理はない。

別件だが、ITmedia NEWSが『アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に』と題した記事の中で

中国は「ネットワーク安全法」の第25条で「ネットワーク事業者は脆弱性など情報セキュリティ上のリスクが発生した場合、緊急対応を直ちに開始するとともに、管轄省庁に報告すること」と定めており、今回の処分も同法に基づくものとみられる。

との見解を述べているが、中国の「ネットワーク安全法」（原題：网络安全法）第25条はネットワーク事業者に対し緊急対応マニュアルの策定と有事の際のインシデント対応や当局へのインシデント報告を義務付けたものであり、脆弱性の発見とは何ら関係がない。

ITmedia NEWSからはリンクされていないが、南方财经网が同様に誤ってネットワーク安全法第25条を引用しているため、ここから広まったデマである可能性が高い。

网络安全法まで遡れば何でも関係ありになりますが、今回は下位規定の「网络产品安全漏洞管理规定」違反で、同規定の範囲内での提携停止です（第十二条の"各自职责依法处理"）。网络安全法第二十五条の日本語訳も微妙に間違ってますし、今回の件は不正確な情報が多い…。
https://t.co/gAN8lSXCqk
— todkm IT系 (@todkm) December 23, 2021

なお、上述の「ネットワーク製品のセキュリティ脆弱性の管理に関する規則」の根拠法となっているのはネットワーク安全法第22条であり、罰則規定は同第60条にまとめられている。

第 22 条ネットワーク製品及びサービスは、関連する国家基準の強制的な要請に適合するものとしなければならない。ネットワーク製品及びサービスの提供者は、悪意のあるプログラムを設置してはならない。そのネットワーク製品及びサービスに安全上の欠陥、セキュリティホール等のリスクが存在することを発見した際には、直ちに救済措置を講じ、規定に従い遅滞なく使用者に告知し、なお且つ関係所管機関に対し報告しなければならない。

第 60 条本法第 22 条第 1 項若しくは第 2 項又は第48 条第 1 項の規定に違反し、次に掲げる行為の 1つをした場合には、関係所管機関が是正するよう命じ、警告する。是正を拒否するか、ネットワークの安全を脅かす等の結果をもたらした場合には、5 万元以上 50 万元以下の制裁金を科し、直接の責任を負う所管者に対しては 1 万元以上 10 万元以下の制裁金を科する。

(1) 悪意のあるプログラムを設置する行為

(2) その製品及びサービスに存在する安全の欠陥、セキュリティホール等のリスクに対し直ちに救済措置を講じない行為か、規定どおりに遅滞なく使用者に対し告知し、なお且つ関係所管機関に対し報告しない行為

(3) その製品及びサービスのため安全の維持・保護を提供することを無断で終了する行為

日本の行政法と同じように、最初は是正命令という形で行政指導が入り、それでも従わない場合に行政罰（制裁金）を下すというフローであり、おそらく今回は警告どまりだったのではないだろうか。

話題となっている連携停止処分というのはネットワーク安全法に基づく行政罰ではなく、情報共有パートナーシップの規定に基づく措置と思われる。自分からは重大な脆弱性を当局に報告しなかったのに、自分は当局から脆弱性情報を一方的に受け取るなどという虫の良い話はないということだ。

強制的に脆弱性報告を徴収する法律の存在に関しては個人的に抵抗感を覚えるが、そこは共産主義国家との文化の違いとしか言いようがないだろう。