中国はソフトウェアの脆弱性を報告せずにまとめあげてサイバー兵器にしようとしている

Microsoftが中国で制定された2021年の法律によって、中国のサイバー攻撃の能力が向上したと指摘しています。

China likely is stockpiling vulnerabilities, says Microsoft • The Register
https://www.theregister.com/2022/11/07/china_stockpiles_vulnerabilities_microsoft_asserts/

中国政府が制定した2021年の法律では、企業がセキュリティー上の脆弱(ぜいじゃく)性を公表する前に地元当局に報告することが義務づけられました。一方でこの法律では政府が現地の報告を利用することで脆弱性に関する情報をため込むことができるとされています。

2022年には、アトランティック・カウンシルの研究者が、中国から報告される脆弱性の減少と匿名の報告の増加を発見しました。

Microsoftが2022年11月4日に発表した「(PDFファイル)2022 Digital Defense Report」では、この法律により中国政府が脆弱性を武器にすることが可能になったおそれがあると指摘されています。また、Microsoftは「この1年の間に中国を拠点とするサイバーテロリストのゼロデイ攻撃が増加しているのは、中国のセキュリティコミュニティが脆弱性の開示を義務付けられ、ゼロデイ攻撃が国家の優先事項として利用されるようになったからだと考えられます」と発表しています。

Microsoftによると、中国政府は東南アジア諸国で影響力を高めようとするアメリカに対抗するため、スパイ行為や情報のハッキングなどのサイバー攻撃を強化したとされています。また、中国政府に支援されたさまざまなテロリストと、関連するサイバー攻撃についていくつか実例が取り上げられています。

例えば、東南アジアの政府間組織がアメリカ政府と東南アジア地域の指導者との会談を発表した際に、政府間組織の100アカウントがAPT攻撃を行う犯罪組織の1つであるGALLIUMに標的とされました。また、ソロモン諸島と中国が軍事協定を締結した際に情報収集を目的として、ソロモン諸島政府のシステムやパプアニューギニアの通信ネットワークが侵入された事例も挙げられています。

また、Microsoftは中国を含めた世界的な傾向として、重要なインフラを標的とした国家的なサイバー攻撃が2021年の20%から2022年には40%に増加したことを報告し、ほとんどの攻撃はロシアがウクライナを標的として行ったものであるとしています。

さらに、イランは地政学的な関係の悪化に伴い、イスラエルやEU、アメリカの港湾当局に対するサイバー攻撃を展開しました。

一方で、北朝鮮は金融機関やハイテク企業から仮想通貨を盗み、航空宇宙産業や研究者にサイバー攻撃を行いました。加えて世界の報道機関へのアクセスを試みたとされています。