「正義のハッカー」中国が悪用か という記事がでています(2024年8月25日 日経新聞)。
このブログでも、国家と脆弱性とのかかわりという点からみると、米国のエクイティ・プロセスについては、
簡単に紹介をしています。
が、中国の制度については、見ていなかったので、制度的な背景をまとめます。ここで、
発見したソフトウエアなどの脆弱性を政府に報告するよう義務付けた2021年以降
という表現があります。
中国ネットワーク製品セキュリティ脆弱性管理規定
中国においては、「ネットワーク製品セキュリティ脆弱性管理規定」(网络产品安全漏洞管理规定)(リンク)が2021年9月1日施行されており、 ネットワーク製品のセキュリティ上の脆弱性の発見・報告・修復・公表が同法により規制されています。
日本語の参考文献として、「中国におけるセキュリティ脆弱性情報の取扱い規制(’21年9月施行)」があります。
1.1 条文
でもって、DeepLでもって翻訳します。
工業・情報化部 インターネット情報弁公室 公安部
ネットワーク製品セキュリティ脆弱性管理弁法の公布に関する通知
工業・情報化部ネットワークセキュリティ[2021]第66号
各省、自治区、直轄市、新疆生産建設兵団の工業・情報化主管部門、サイバー空間管理部門、公安部門(局)、および各省、自治区、直轄市の通信管理局宛て:
ネットワーク製品セキュリティ脆弱性管理弁法をここに公布し、2021年9月1日より施行する。
工業情報化部
国家インターネット情報弁公室
公安部
2021年7月12日
ネットワーク製品セキュリティ脆弱性管理弁法
第1条 本弁法は、中華人民共和国サイバーセキュリティ法に基づき、ネットワーク製品セキュリティ脆弱性の発見、報告、修正、公表を規範化し、サイバーセキュリティリスクを防止することを目的として策定される。
第2条:中華人民共和国の領域内のネットワーク製品(ハードウェアおよびソフトウェアを含む)のプロバイダーおよびネットワーク運営者、ならびにネットワーク製品のセキュリティ脆弱性の発見、収集、公開などの活動に従事する組織または個人は、本規定を遵守しなければならない。
第3条:中国国家サイバー空間管理局は、ネットワーク製品のセキュリティ脆弱性の管理を調整する責任を負う。工業情報化部は、ネットワーク製品のセキュリティ脆弱性の総合的な管理を担当し、電気通信およびインターネット業界におけるネットワーク製品のセキュリティ脆弱性の監督および管理を担う。公安部は、ネットワーク製品のセキュリティ脆弱性の監督および管理、ならびにネットワーク製品のセキュリティ脆弱性を利用した違法および犯罪行為の取締りを法に基づき担当する。
関連する主管部門は、ネットワーク製品セキュリティ脆弱性に関する情報のリアルタイムでの共有を実現し、重大なネットワーク製品セキュリティ脆弱性リスクの共同評価と処理を行うために、部門間の連携と協力を強化しなければならない。
第4条 組織または個人は、ネットワーク製品セキュリティ脆弱性を利用してネットワークセキュリティを脅かす活動に従事してはならず、また、ネットワーク製品セキュリティ脆弱性に関する情報を違法に収集、販売、または公開してはならない。 ネットワーク製品セキュリティ脆弱性を利用してネットワークセキュリティを脅かす活動に従事する者に対して、故意に技術サポート、広告、支払いまたは決済サービス、またはその他の支援を提供してはならない。
第5条 ネットワーク製品提供企業、ネットワーク運営企業、およびネットワーク製品脆弱性情報収集プラットフォームは、ネットワーク製品脆弱性に関する情報受領ルートを確立・改善し、これを維持するとともに、ネットワーク製品脆弱性に関する受領情報のログを6ヶ月以上保存しなければならない。
第6条 関連組織および個人は、ネットワーク製品提供企業に自社製品の脆弱性に関する通知を行うよう奨励される。
第7条 ネットワーク製品提供企業は、自社製品の脆弱性を速やかに修正し、合理的に公表するとともに、製品利用者の予防措置を指導・支援するために、ネットワーク製品脆弱性管理において以下の義務を履行しなければならない。
(1) 提供するネットワーク製品にセキュリティ脆弱性が発見されたり、知ったりした場合には、直ちに措置を講じ、セキュリティ脆弱性の検証を組織し、セキュリティ脆弱性の危害の程度と影響範囲を評価しなければならない。上流の製品またはコンポーネントのセキュリティ脆弱性については、直ちに関連製品提供者に通知しなければならない。
(2) 関連する脆弱性情報は、2日以内に工業情報化部のネットワークセキュリティ脅威および脆弱性情報共有プラットフォームに提出しなければならない。提出する内容は、セキュリティ脆弱性のあるネットワーク製品の製品名、モデル、バージョン、および脆弱性の技術的特性、危険性、影響範囲を含むものとする。
(3) ネットワーク製品のセキュリティ脆弱性に対する修正を速やかに実施する。製品ユーザー(下流メーカーを含む)にソフトウェアやファームウェアのアップグレードなどの措置を講じるよう求めるものについては、影響を受ける可能性のある製品ユーザーにネットワーク製品のセキュリティ脆弱性のリスクと修正方法について速やかに通知し、必要な技術サポートを提供する。
工業情報化部のネットワークセキュリティの脅威と脆弱性に関する情報共有プラットフォームは、関連する脆弱性情報を国家ネットワーク・情報セキュリティ情報通知センターおよび国家コンピュータネットワーク緊急対応技術調整センターに同時に通知する。
ネットワーク製品プロバイダーは、自らが提供するネットワーク製品におけるセキュリティ脆弱性に対する報奨制度を確立し、自らが提供するネットワーク製品におけるセキュリティ脆弱性を発見し報告した組織または個人に報奨を与えることが推奨される。
第8条:ネットワーク運営者が、そのネットワーク、情報システム、または機器にセキュリティ脆弱性があることを発見または知った場合、直ちに、適時にその脆弱性を検証し、修正するための措置を講じなければならない。
第9条:ネットワーク製品のセキュリティ脆弱性の発見および収集に従事する組織または個人が、オンラインプラットフォーム、メディア、会議、コンテスト、またはその他の手段を通じて、ネットワーク製品のセキュリティ脆弱性に関する情報を一般に公開する場合、その組織または個人は、必要、真実、客観性、およびネットワークセキュリティリスクの防止に資するという原則に従い、以下の規定を遵守しなければならない。
(1) ネットワーク製品提供者が脆弱性の修正を行った後でなければ、脆弱性情報を公開してはならない。 事前に公開する必要があると判断された場合、関連するネットワーク製品提供者に相談し、評価を行う。 工業情報化部および公安部に通知し、評価を行った後でなければ、情報を公開してはならない。
(2) ネットワーク運営者が使用中のネットワーク、情報システム、設備におけるセキュリティ脆弱性の詳細を公表してはならない。
(3) ネットワーク製品のセキュリティ脆弱性の危険性やリスクを故意に誇張してはならず、また、ネットワーク製品のセキュリティ脆弱性に関する情報を悪意のある投機や、詐欺、恐喝、その他の違法行為に利用してはならない。
(4) ネットワーク製品のセキュリティ脆弱性を悪用してネットワークセキュリティを脅かす行為を行うことを目的としたプログラムやツールを公表したり、利用可能にしてはならない。
(5) ネットワーク製品のセキュリティ脆弱性に関する情報を公開する際には、同時にパッチや予防措置に関する情報を公開すべきである。
(6) 国家の重大なイベント期間中には、公安省の同意を得ずにネットワーク製品のセキュリティ脆弱性に関する情報を公開してはならない。
(7) 未公開のネットワーク製品のセキュリティ脆弱性に関する情報を、ネットワーク製品提供元以外の海外の組織または個人に提供してはならない。
(8) その他、法律および規則の関連規定。
第10条 ネットワーク製品のセキュリティ脆弱性に関する情報収集プラットフォームを構築する組織または個人は、工業情報化部に登録しなければならない。工業情報化部は、関連する脆弱性収集プラットフォームを速やかに公安省および中国国家サイバー空間管理局に通知し、登録されたプラットフォームを公表する。
ネットワーク製品のセキュリティ脆弱性を発見した組織または個人は、工業情報化部のネットワークセキュリティ脅威および脆弱性情報共有プラットフォーム、国家ネットワークおよび情報セキュリティ情報通知センターの脆弱性プラットフォーム、国家コンピュータネットワーク緊急対応技術チーム/調整センターの脆弱性プラットフォーム、および中国情報技術セキュリティ評価センターの脆弱性データベースに、ネットワーク製品のセキュリティ脆弱性に関する情報を報告することが推奨される。
第11条 ネットワーク製品のセキュリティ脆弱性の発見および収集に従事する組織は、内部管理を強化し、ネットワーク製品のセキュリティ脆弱性に関する情報の漏洩および違法公開を防止するための措置を講じなければならない。
第12条 ネットワーク製品提供者が、本規定に従ってネットワーク製品セキュリティ脆弱性に対する改善措置または報告措置を取らなかった場合、工業情報化部および公安部がそれぞれの職責に従って、法律に基づき処理する。中華人民共和国サイバーセキュリティ法第60条に規定された状況が成立した場合、同規定に従って処罰する。
第13条 ネットワーク運営者が、本規定に従ってネットワーク製品セキュリティ脆弱性に対する改善措置または予防措置を取らなかった場合、関連主管部門が法律に基づき処理する。中華人民共和国サイバーセキュリティ法第59条に規定された状況が成立した場合、同規定に従って処罰する。
第14条:ネットワーク製品のセキュリティ脆弱性に関する情報の収集および公開に関する本規定の違反行為については、工業情報化部および公安部がそれぞれの職責に基づき、法律に従って処理する。状況が中華人民共和国サイバーセキュリティ法第62条に規定された状況に該当する場合は、同条の規定に従って処罰する。
第15条:ネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティを脅かす行為を行う者、または他者がネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティを脅かす行為を行うことを技術的に支援する者は、公安機関により法に基づき処理される。中華人民共和国サイバーセキュリティ法第63条に規定された状況に該当する者は、同法に基づき処罰される。犯罪に該当する者は、法に基づき刑事責任を追及される。
第16条:本規定は2021年9月1日に施行される。
協調された脆弱性開示(もしくは、調整された脆弱性開示/Coordinated Vulnerability Disclosure)については、当社のブログでも常に論じてきました。例えば
- 必読-ENISA の「協調された脆弱性開示」のポリシー報告
- 米国における「脆弱性の協調された開示」(CVD) の歴史と現在 (上述)
- オランダの協調された開示(CVD)ガイドライン
- 脆弱性の開示の枠組を深く勉強したい人に-ワクチンの予約システムの報道に関して
などがあります。
1.2 図解
協調された脆弱性の開示のプロセスの理念図はこのような形になります。
中国の「ネットワーク製品セキュリティ脆弱性管理規定」自体を図で示すとこのような感じになります。
ここの条文を上の図と比較してみるとき、
- 製品提供者は脆弱性について、共有プラットフォームへの提供が義務づけられてること
- 情報収集プラットフォームの登録制
が、日本やその他の国で行われている協調された脆弱性開示の枠組とは異なるところですが、大きな違いはないように思います。
1.3 記事との関係
「正義のハッカー」中国が悪用か の記事では、
発見したソフトウエアなどの脆弱性を政府に報告するよう義務付けた2021年以降、関与が指摘される攻撃のリポートが急増したことが日本経済新聞などの調査で分かった。
とのことです。
義務として情報を提供するだけでなく、「サイバー傭兵(ようへい)」さながらに攻撃に協力する民間ハッカーの存在が浮かび上がる。
とされています。脆弱性エクイティプロセスでもみたように、米国でも英国(別途ふれる予定)でも、脆弱性情報については、国家が、これを活用することは、問題視されるものではないとはいえるかと思います。もっとも中国は、報道からすると、きわめて大規模であり、それこそ、権威主義国家の行動パターンということができるでしょう。