「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ

by phphoto2010

Javaライブラリ・Apache Log4j・に存在するゼロデイ脆弱(ぜいじゃく)性「Log4Shell」を発見しApacheに報告したAlibaba Cloudのセキュリティチームについて、中国政府が「最初に政府に報告しなかった」ことを理由にペナルティを課したことがわかりました。

Apache Log4j bug: China’s industry ministry pulls support from Alibaba Cloud for not reporting flaw to government first | South China Morning Post
https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud

China regulator suspends cyber security deal with Alibaba Cloud | Reuters
https://www.reuters.com/world/china/china-regulator-suspends-cyber-security-deal-with-alibaba-cloud-2021-12-22/

China suspends deal with Alibaba for not sharing Log4j 0-day first with the government
https://thehackernews.com/2021/12/china-suspends-deal-with-alibaba-for.html

世界最大級の小売＆電子商取引企業であるアリババグループが所有する日刊紙・South China Morning Postなどの報道によると、中国政府は「Apache Log4j」に関する重大な脆弱性を政府に最初に報告しなかったとして、アリババグループのクラウドコンピューティング部門・Alibaba Cloudと工業情報化部の取引を6カ月間停止する措置を取ったとのこと。

工業情報化部の後ろ盾を失うことで、Alibaba Cloudのビジネスへも影響が出ることが予測されていますが、具体的にどれぐらいの損失になるかは不明です。

なお、セキュリティ上の問題を発見した場合、まずはベンダーに報告を行うのがサイバーセキュリティ業界では通例となっており、Alibaba CloudによるApacheへの報告は当然のことといえるものですが、中国では新たな法律により、問題があったときはまず中国政府に報告することが奨励されているとのことです。