「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ
by phphoto2010
Javaライブラリ・Apache Log4j・に存在するゼロデイ脆弱(ぜいじゃく)性「Log4Shell」を発見しApacheに報告したAlibaba Cloudのセキュリティチームについて、中国政府が「最初に政府に報告しなかった」ことを理由にペナルティを課したことがわかりました。
Apache Log4j bug: China’s industry ministry pulls support from Alibaba Cloud for not reporting flaw to government first | South China Morning Post
https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud
China regulator suspends cyber security deal with Alibaba Cloud | Reuters
https://www.reuters.com/world/china/china-regulator-suspends-cyber-security-deal-with-alibaba-cloud-2021-12-22/
China suspends deal with Alibaba for not sharing Log4j 0-day first with the government
https://thehackernews.com/2021/12/china-suspends-deal-with-alibaba-for.html
世界最大級の小売&電子商取引企業であるアリババグループが所有する日刊紙・South China Morning Postなどの報道によると、中国政府は「Apache Log4j」に関する重大な脆弱性を政府に最初に報告しなかったとして、アリババグループのクラウドコンピューティング部門・Alibaba Cloudと工業情報化部の取引を6カ月間停止する措置を取ったとのこと。
工業情報化部の後ろ盾を失うことで、Alibaba Cloudのビジネスへも影響が出ることが予測されていますが、具体的にどれぐらいの損失になるかは不明です。
なお、セキュリティ上の問題を発見した場合、まずはベンダーに報告を行うのがサイバーセキュリティ業界では通例となっており、Alibaba CloudによるApacheへの報告は当然のことといえるものですが、中国では新たな法律により、問題があったときはまず中国政府に報告することが奨励されているとのことです。
・関連記事
JavaのLog4jライブラリで「Log4Shell」に加えて新たな脆弱性「CVE-2021-45046」が発覚、アップデートで対応可能 - GIGAZINE
世界中を揺るがしたJavaライブラリの脆弱性・Log4Shellのネタ画像をまとめた「log4j memes」 - GIGAZINE
中国・イラン・北朝鮮・トルコの支援を受けたハッキンググループがLog4jのゼロデイ脆弱性「Log4Shell」を悪用しているとMicrosoftが発表 - GIGAZINE
Log4jのゼロデイ脆弱性「Log4Shell」を悪用する攻撃が急増中、中国政府の関与も疑われる - GIGAZINE
Java・Log4jライブラリの脆弱性「Log4Shell」に対応する方法などをまとめたチートシートが公開中、影響のあるプロダクトも一目で明らかに - GIGAZINE
世界中を揺るがすJavaライブラリのゼロデイ脆弱性「Log4Shell」を突く攻撃は発覚前からすでに始まっていた - GIGAZINE
Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、仮想通貨マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題 - GIGAZINE
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか? - GIGAZINE
・関連コンテンツ
