中国政府がアリババクラウドを処罰、log4jの脆弱性を政府より先にOSSコミュニティに報告したため 48
ストーリー by nagazou
締め付け 部門より
締め付け 部門より
あるAnonymous Coward 曰く、
中国の政府系メディアが報じたところによると、中国の規制当局は22日、EC大手アリババ・グループのクラウドサービス子会社「阿里雲(アリババ・クラウド・コンピューティング)」との情報共有パートナーシップを停止したという(ロイター、GIGAZINE、WSJ)。
注目すべきはその理由で、「同社が発見したlog4jの脆弱性をApache Software Foundationに報告した一方、すぐに政府に報告しなかったため」だという。中国の法律では、企業は発見から48時間以内に政府に新しい脆弱性を報告する必要があるとのことで、確かに法律違反ではあるようなのだが、IT業界ではOSSの脆弱性はまず開発元に連絡して対策、というのが当然と思われるので、これは違和感を覚える話である。
詳細がわからないけど (スコア:5, すばらしい洞察)
両方に報告するように手配することはできたと思うので、記事だけ見ると割とまっとうな処罰理由のような気がする。
法律に、国に報告後許可が出るまでは他に漏らすなとかなければですが・・・
Re:詳細がわからないけど (スコア:1)
アリババ側は当初そこまで重要な脆弱性と思っていなかったと釈明してるみたいですね。
まあでも結果的にゼロデイ攻撃が発生して中国当局が事前に防ぐことができなかったと考えれば処分も残当かなって思います。
Re:詳細がわからないけど (スコア:1)
メールのccに付け忘れがないかどうか送信前に確認しろ、とあれだけ注意していたのに…
by 万年中間管理職
Re: (スコア:0)
実は中国共産党との情報共有パートナーシップを停止したいからそうしてたりして
Re: (スコア:0)
違反自体も問題視されるのだろうけど、政府の意思を軽視する姿勢や、面子を潰した事への報復とかもあるのかね。
OSSコミュニティへの報告は脆弱性の悪用を阻止する事を最優先に考える人間によって為されるもので、
国家の利益はそれに次ぐという思想は、中国政府からすると看過できないものなのかもしれない、とか。
中国人のエンジニアはこれを見て何を思うのだろう。
Re: (スコア:0)
中国人のエンジニアはこれを見て何を思うのだろう。
全員がエンジニアかは知らないけど、中国の方では「アリババは売国奴だ~」って吹き上がってるみたいですね
エンジニアと言えど脆弱性報告なんて滅多にすることじゃないので他人事でしょう
Re: (スコア:0)
そりゃアリババを擁護する発言なんかした日にゃ自分が目をつけられますからね。
Re: (スコア:0)
まあ国に報告させて広く共有しようってのは日本もIPAがやってる。国への報告は一般的。
Re: (スコア:0)
> まあ国に報告させて広く共有しようってのは日本もIPAがやってる。国への報告は一般的。
でも一次開発元よりも先に国に報告せよとか
国に報告しないと罰則とか
はないので、この件についてはまるで違いますよ
Re: (スコア:0)
でも一次開発元よりも先に国に報告せよとか
他で言われてるようにデマです。
国に報告しないと罰則とか
脆弱性ではないですけど、日本でもそういうのいっぱいありますよ。
電気通信事業者はもちろんですし、鉄道事業者とか航空会社とか。
インフラ系の許認可事業は国民の生活に関わるので問題を見つけたら国に報告は基本。
単に中国はその範囲が広いってだけですね。
Re: (スコア:0)
タイトルでは『政府より先に』ってなってるのに本文では『すぐに政府に報告しなかった』ってなってて実際の問題点がよく分からん感じの記事になってる。中国政府を非難する気持ちが先に立ってるのか不正確になるのは良くないですね。
Re: (スコア:0)
でも、中国は実際にこの脆弱性を使って今月に入って他国に攻撃を仕掛けてるわけで、先に言ってたら、もっと酷いことになってるんじゃないかな。まだ気づいてないだけで、国内にも被害出てるだろうし「国内法を守りましょうね」って意見は正論だとしてもお人良し過ぎると思う。民主主義じゃない以上、中国人が中国の法を守って損するのはこっちなんだから。
「政府より先に」というのはデマ (スコア:4, 参考になる)
Alibaba CloudがLog4jの脆弱性を中国政府に「最初に」報告しなかったとして連携停止処分というデマについて [note.com]
別にOSSコミュニティに先に報告しても構わんらしい。というかむしろ報告が推奨されてる。ただし48時間以内に政府にも報告してねってこと。
つかスラドの本文にも「発見から48時間以内に政府に新しい脆弱性を報告する必要がある」って書いてるんだから誰かタイトルとの矛盾に突っ込めよ。
Re: (スコア:0)
相変わらずタイトル詐欺のデマなのはわかるけど、アリババだし中国だしさもありなんってなっちゃう。
逆にこの処罰という結果を導くために、ツッコミどころのない法律と事実の中で、誰がどう暗躍したんだろうと勘ぐってしまう。
Re: (スコア:0)
> デマなのはわかるけど、さもありなんってなっちゃう。
余計まずいだろ
擁護なのか何なのか、「けど」の意味が全然わからん
Re: (スコア:0)
「さもありなんってなっちゃう」、「勘ぐってしまう」、それをデマと言います。
そもそも論として…… (スコア:3)
中国政府にとって「良い方向であれ、悪い方向であれ、中国政府の予想が付かない方向に中国社会を変えかねない危険な存在」No.1は中国国内の大手IT企業じゃなかろ〜か??
なので、時々、しめつけて「お前らは政府のコントロールから外れたら、ただじゃ済まんぞ」と調教する必要が有る、と。
Re:そもそも論として…… (スコア:1)
趙さん中の人っぽく憶測語るからなぁ
そもそも (スコア:2)
中国の政治体制と、オープンとか自由とかの理念が共存し得ないでしょ
別にどっちが正義とか言いたいわけではなくて、考え方の土台からして違うのに、個々の事例について違和感を覚えるとか言っても、そりゃそうだとしか言えないのでは
Re: (スコア:0)
中国ってオープンソース開発がハードソフト共に活発に見えるけど
Re:そもそも (スコア:2)
あくまで政府の監視の下、国家の利益に反しない限り、でしょ
反政府的な要素を盛り込んだら即座に閉鎖、処罰されるだろうし、何を以て反政府的とするか自体を政府が決められる
Re: (スコア:0)
まぁ、政府からプロプライエタリな製品のソースも提供しろって言われるし
オープンだよね
誰に対してかは知らんけど
単純な話 (スコア:1)
会社の社員が業務に関する情報を上司&会社よりも先にブログで公開して怒られたとか,部外秘のソースコードをgithubで公開しちゃった,ってのと同じ話です.
「社員の成果は会社に帰属する」というのは日本の常識ですが,中国では「全てが国に帰属する」が常識なんです.
中国政府としては,アメリカというライバル企業にバカ社員が情報をリークした!違和感なんていうやつは,コトの重大さが分かってない大馬鹿者だ!クビ!という感じでなんでしょう.怖い.
Re:単純な話 (スコア:1)
だとしたらオープンソースに手を出さないでほしい
Re: (スコア:0)
中国では「全てが国に帰属する」が常識なんです.
え?同士書記長個人にではなくて?
コトの重大さが分かってない大馬鹿者だ!クビ!
え?解雇で済むの?物理ではなくて?
#
店屋物天安門 とかいとけばいいかRe: (スコア:0)
中国政府が「クビ」って言ったら解雇のことじゃない方だろ。切り落す方。
軍事大国はどこもゼロデイ脆弱性をコレクションしてる (スコア:0)
軍事大国はどこも、諜報やサイバー攻撃に使えるゼロデイ脆弱性をたくさん見つけて、
いざというときに備えてたくさんコレクションしてるでしょう
ベンダーに報告するか、自分たちで独占するか、場合によって使い分けてるとおもう
Re: (スコア:0)
参考:Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 [security.srad.jp]
Re: (スコア:0)
たとえば、中国政府が、アメリカでたくさんつかわれていて中国でつかわれてない機器の脆弱性を発見したら、
ベンダに報告せずに、コレクションするでしょう
逆に、中国でたくさんつかわれてアメリカでつかわれてない機器の脆弱性を発見したら、
ベンダに報告して修正させるでしょう
Re: (スコア:0)
脆これ?
日本では考えられんな (スコア:0)
日本でも15年前からIPAに届け出る制度が運用されてきたけど、「政府がゼロデイに使われちゃう〜」なんて思いもしなかったなあ。中国って……
Re: (スコア:0)
「政府がゼロデイに使われちゃう〜」なんて思いもしなかったなあ。中国って……
日本のえらいひと「ようわからん」
中国のえらいひと「なんてこったしょばつだ」
# 優秀なのはどっちかというと悩ましいところだ
Re: (スコア:0)
「政府がゼロデイに使われちゃう〜」
Re: (スコア:0)
日本政府ばバカだから、ゼロデイを収集するっていうことを考え付かないんだろ?
ゼロデイ脆弱性の在庫は、ミサイルの在庫に匹敵する
政府に先に報告したら (スコア:0, 荒らし)
サイバーテロに利用すんだから他に報告なんかさせねーぞ。
他への報告を阻止する方法はそりゃもう・・・
というところまで読んだんですが、なにか誤読してますか?
Re: (スコア:0)
いえ。まっとうな考え方です。
余計な機能を搭載させたLog4jの責任者は誰だったのか、なぜそのような危険物を仕込んだのか明らかにすべきです。
それが中国共産党員でなければよいのですが。
Re: (スコア:0)
この人の「中国共産党員」は、どんなイメージなんだろう
9000万人も同じような人間がいると思ってるのかな
先に報告した(1秒前)とか (スコア:0)
駄目なんだろうなw
どこのIT業界だよ (スコア:0)
「脆弱性を発見したら48時間以内に報告せよ」って契約してたら、そうしてくんないと困るだろ
「開発元に連絡して対応するのがOSSのやり方なんで」って言って何も連絡してこないITエンジニアとか
それこそ違和感の塊しかない
「だってあなたもセキュリティ情報のサイトとかチェックしてれば気づくから同じでしょう?」とか平気で言い出しそう
Re: (スコア:0)
-1ついてるけど、おもおかに一票w
日本じゃあんまり意味ないだろうけど (スコア:0)
国家によるネット検閲がかなり成功してる国だと(その気になれば)出来ることはあるだろうしな。
Re: (スコア:0)
「敵性侵略国家キチガイ」までは良いけど、中国が左翼と言うのはさすがに無理がある。
国内左翼が中国に協力的ではあるけど、中国自体は右翼中の右翼みたいなもんでしょ。
Re: (スコア:0)
そいつ脳死でパヨクパヨクと鳴いてるだけだから特に意味はないぞ
Re: (スコア:0)
パヨクの語源を調べる宿題を1年以上放置して恥を晒し続けるパヨクであった。
Re: (スコア:0)
中国自体は右翼中の右翼みたいなもんでしょ。
中国共産党は国民社会主義ドイツ労働者党の同類、習近平はヒトラーの同類とするなら、その主張は妥当。
Re: (スコア:0)
戦争直前の大日本帝国的でもあるわけで、とりわけナチに近いってわけでもないような。外交が帝国主義で内政が全体主義っていう大きな括りで似てるってだけで。