China disciplines Alibaba Cloud for handling of Log4j bug
2021/12/22 SCMP — 中国のインターネット・セキュリティ当局が、Alibaba Group Holding のクラウド・コンピューティング・サービス部門を懲戒処分にした。水曜日に中国メディアが報じたところによると、サイバー・セキュリティ業界を震撼させた Apache Log4j ソフトウェアの深刻な脆弱性を、最初に政府に報告しなかったことが原因のようだ。
21st Century Business Herald 紙によると、工業情報技術省 (Ministry of Industry and Information Technology : MIIT) は、広く使用されているログソフトの深刻なバグを、Alibaba Cloud が直ちに政府機関に報告しなかったことで、サイバー・セキュリティ脅威情報パートナーとしての業務を、6ヶ月間停止するという。また、同省は、Alibaba が問題を修正するために取った措置に基づいて、その時点でパートナーシップの再開について再評価するとしている。
同庁の支援を失うことは、South China Morning Post. 紙を所有する、Alibaba のクラウド・コンピューティング部門のビジネスに影響を与える可能性がある。しかし、国内最大のクラウド事業の具体的な損失については、判断が難しいところでもある。
2019年12月に MIIT は、セキュリティ上の脅威に対処する際の国家主導のアライアンスとして、サイバー・セキュリティ脅威情報共有プラットフォームを立ち上げた。このプラットフォームへの加盟は、脅威の発見と管理における加盟企業の能力を、政府が認める証となる。
MIIT は、今回の決定について、公式声明を発表していない。また、Alibaba もコメントの求めに応じていない。
Log4j の脆弱性は、「悪夢」や「破滅的」と表現され、一部の専門家は、影響を受けるデバイスの数から見て、これまでにおける最も深刻なサイバー・セキュリティ上の脅威であると述べている。このシンプルな Java ベースのソフトウェアは、テレビやカメラなどの IoT 製品から、Amazon/Google/Microsoft などの大手クラウドの運用を担うサーバーにいたるまで、インターネット接続された無数のデバイスで使用されている。
この欠陥は、Alibaba Cloud セキュリティ・チームのエンジニアである Chen Zhoujun が発見し、12月9日に公開したことで注目を集めた。11月24日に Chen Zhoujun は、オープンソースの Log4j ツールを開発している、Apache Software Foundation にメールで通知している。
今年に可決された規則によると、中国企業は自社のソフトウェアの脆弱性を、国家脆弱性データベースの Web サイトを通じて MIIT に報告することが義務付けられている。しかし、9月に施行された Internet Product Security Loophole Management Regulation では、他者のソフトウェアで見つかったバグを、政府に報告することは「奨励」されているに過ぎない。
MIIT のサイバー・セキュリティ管理局は、12月9日に声明を発表し、関連するサイバーセ・キュリティ機関から、この脆弱性について通知を受けたと述べた。同省は、Alibaba Cloud をはじめとするサイバー・セキュリティ企業を召喚し、状況を協議したとしている。また、一般的な企業や市民に対しは、システムにパッチを適用するための更新情報を監視するよう促している。
サイバー・セキュリティ業界の規範では、セキュリティ上の欠陥を一般に公開する前に、まずベンダーに通知し、問題に対処するための十分な時間を与えることが推奨されている。Apache は、一般公開の3日前となる 12月6日に、Log4j のバグに対するパッチをリリースしている。
しかし、Log4j は広く普及しているため、バグの発見による影響は広範囲におよぶと予想されている。したがって、多くの人々が、自身のシステムが危険にさらされていることに気づいていない可能性もある。
Log4Shell と呼ばれる、このエクスプロイトを利用すると、ハッカーはソフトウェアに記録されたコードを取得するだけで、リモート・コードの実行が可能となる。つまり、Microsoft のゲーム Minecraft の Java 版などで問題となり、プレイヤーがチャット・メッセージを通じて悪意のコードを送信することで、他者のシステムを危険にさらすことを許してしまう。
Twitter では、Alibaba のエンジニアが、責任を持ってツールの開発者に対して、この脆弱性をダイレクトに公開したことが称賛されている。このバグが公開されて以来、サイバー・セキュリティの専門家たちは、脆弱なシステム上で Log4j をスキャンする行為が増加していると警告している。Microsoft は 12月11日に、中国/北朝鮮/イラン/トルコに関係する国家機関が、この脆弱性を実験的に利用していることを発見したと公表した。
中国政府による自国企業の締め付けが、この Aalibaba にも及んでいるのは周知の事実です。8月の「中国政府が推進する新たなルールと重要情報インフラの保護」および、「中国企業トップの発言:共産党によるデータの把握は必要不可欠」や、10月の「中国 MIIT による規制:Tencent や Alibaba による独占は許さない」といった伏線があり、「中国政府の脆弱性報告 Web サイトは4つの分野に対応する」では脆弱性情報の管理にまで踏み込んできています。今回の Log4j 問題のコントロールを、中国政府が握らなかったことで、生まれ得るべき混乱が生じていることは、不幸中の幸いなのでしょう。
IoT OT Security News 