国家による脆弱性報告政策が生む分断 | ScanNetSecurity
2026.07.03(金)

国家による脆弱性報告政策が生む分断

 シンクタンクの The Atlantic Council の調査によると、中国の情報セキュリティ研究者が提供する脆弱性情報の数が急激に減少している。また、同調査では、奇妙なことに、その減少を補うように、不明な情報源からのバグ報告が増加していることも判明している。

国際 TheRegister
国が決めたルールに違反してまで報告された脆弱性(画像はイメージです)
国が決めたルールに違反してまで報告された脆弱性(画像はイメージです) 全 1 枚 拡大写真

 シンクタンクの The Atlantic Council の調査によると、中国の情報セキュリティ研究者が提供する脆弱性情報の数が急激に減少している。また、同調査では、奇妙なことに、その減少を補うように、不明な情報源からのバグ報告が増加していることも判明している。

 The Atlantic Council は、2021 年の「ネットワーク製品のセキュリティ脆弱性管理に関する規定」(RMSV)の施行を受けて、中国における情報セキュリティ研究について調査を行った。同規定は、中国国内の研究者に対して、発見したあらゆる脆弱性を中国の機関に報告するよう義務付けるものだ。The Register が既に報じている通り、この規制の目的とは、中国政府が脆弱性情報を蓄積し、戦略的、または攻撃的な作戦において悪用可能にすることである可能性がある。また、中国の研究者は国際的な情報セキュリティコンペに出場できなくなっているが、この規制の導入理由も同様だったと考えられている。

 The Atlantic Council は、この問題に関する報告書「竜の尾:国際サイバーセキュリティ研究の維持」において、中国の情報セキュリティ研究者は有能であり数多くの脆弱性を見つけ出していると指摘している。その有能な見つけ出しぶりの好例として、Alibaba による Log4Jバグの発見が挙げられる。

 しかし、この報告書によれば、Alibaba はこの問題を Apache Foundation に開示したことで、中国当局から制裁を受けたとのことだ。そのため、The Atlantic Council のチームは、中国が脆弱性報告の共有を禁じていることによって、世界のコミュニティに悪影響が生じているかどうかを調査することにした。


《The Register誌特約記事》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  4. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  5. Apache Tomcat に複数の脆弱性

    Apache Tomcat に複数の脆弱性

ランキングをもっと見る
PageTop