Appleがセキュリティアップデートを配布するまでのわずか2カ月の間にウイグル族の盗聴に利用されていたのだ。中国政府がゼロデイの脆弱性を戦術として使用していることが分かる事例である。
脆弱性情報を国家管理に
中国国家標準化管理委員会(SAC)の「情報セキュリティ技術サイバーセキュリティ脆弱性管理仕様書」には、「脆弱性」は戦略的資源であると明記されている。
脆弱性情報を管理し、脆弱性に対して適切な対処を行うことは、サイバー空間の安全性を高めることに寄与する一方で、サイバー攻撃にも利用することができることから、戦略的資源というわけだ。
中国は、19年9月にサイバーセキュリティ脅威情報の収集・保管・分析・通知・公開を一元的に行う「サイバーセキュリティ脅威情報共有プラットフォーム」を構築している。脅威情報とはまさに脆弱性情報のことだ。
プラットフォームの構築と同時に「ネットワーク製品のセキュリティ脆弱性管理に関する規定」が施行されている。この規定では、中国国内に拠点を有している、あるいは国内で使用されている製品ベンダーおよび個人は脆弱性の管理義務があり、脆弱性を発見した場合には2日以内に政府に報告しなければならないとしている。
一方で、脆弱性を報告したものには報奨金を与え、脆弱性が修正される前に脆弱性情報を公開することを禁じている。規則に違反した場合、組織に対しては10万元(206万円)以下の罰金、個人に対しては5万元(103万円)以下の罰金、関連事業免許の取り消しなど厳しい罰則が定められている。違法行為とみなされた場合は刑事責任を追及される。
報告された脆弱性は「脆弱性データベース(CNNVD: Chinese National Vulnerability Database of Information Security)」で管理される。脆弱性データベースは、登録されてからおよそ13日で公開されているが、サイバー攻撃に使えそうな脆弱性情報に関しては、相当程度遅らせて公開するという恣意的な運用が行われている。
世界でも厳重に管理されるゼロディの脆弱性
脆弱性の内容によって公開、非公開の区別が行われているのは中国に限らない。
米国連邦政府では、脆弱性公平化プロセス(VEP:Vulnerabilities Equities Process)と呼ぶ制度がある。VEPは、ゼロディの脆弱性を公開するかしないかについてケースバイケースで決定するプロセスをいう。
政府の敵対者の攻撃に使用するために一時的に秘密にしておく、すなわち政府が脆弱性に関する情報の公開を保留することが許されているのである。VEPは、09年ごろに導入され、秘密裏に運用されていたが、「シャドウ・ブローカーズ(Shadow Brokers)事件」がきっかけで17年11月に一般に公開されることとなった。
「シャドウ・ブローカーズ事件」とは、16年の夏に、はじめて姿を現したハッカー集団「シャドウ・ブローカーズ」が、米国家安全保障局(NSA)から「シスコシステムズやジュニパーネットワークスといった米大手通信機器メーカーのファイアウォール製品に侵入可能なツールを入手した」とする犯行声明を出した事件である。
犯行声明から数日後に、シスコシステムズは、ファイアウォールに見つかった脆弱性を修正するプログラムを発表したことから、犯行声明を裏付けるものとされた。