パスワードを忘れた? アカウント作成
15523692 story
中国

中国政府がアリババクラウドを処罰、log4jの脆弱性を政府より先にOSSコミュニティに報告したため 48

ストーリー by nagazou
締め付け 部門より
あるAnonymous Coward 曰く、

中国の政府系メディアが報じたところによると、中国の規制当局は22日、EC大手アリババ・グループのクラウドサービス子会社「阿里雲(アリババ・クラウド・コンピューティング)」との情報共有パートナーシップを停止したという(ロイターGIGAZINEWSJ)。

注目すべきはその理由で、「同社が発見したlog4jの脆弱性をApache Software Foundationに報告した一方、すぐに政府に報告しなかったため」だという。中国の法律では、企業は発見から48時間以内に政府に新しい脆弱性を報告する必要があるとのことで、確かに法律違反ではあるようなのだが、IT業界ではOSSの脆弱性はまず開発元に連絡して対策、というのが当然と思われるので、これは違和感を覚える話である。

  • 詳細がわからないけど (スコア:5, すばらしい洞察)

    by machrider (49063) on 2021年12月24日 12時59分 (#4175679) 日記

    両方に報告するように手配することはできたと思うので、記事だけ見ると割とまっとうな処罰理由のような気がする。
    法律に、国に報告後許可が出るまでは他に漏らすなとかなければですが・・・

    ここに返信
    • by Anonymous Coward on 2021年12月24日 14時18分 (#4175739)

      アリババ側は当初そこまで重要な脆弱性と思っていなかったと釈明してるみたいですね。
      まあでも結果的にゼロデイ攻撃が発生して中国当局が事前に防ぐことができなかったと考えれば処分も残当かなって思います。

    • by Anonymous Coward on 2021年12月24日 15時31分 (#4175791)

      メールのccに付け忘れがないかどうか送信前に確認しろ、とあれだけ注意していたのに…

      by 万年中間管理職

    • by Anonymous Coward

      実は中国共産党との情報共有パートナーシップを停止したいからそうしてたりして

    • by Anonymous Coward

      違反自体も問題視されるのだろうけど、政府の意思を軽視する姿勢や、面子を潰した事への報復とかもあるのかね。
      OSSコミュニティへの報告は脆弱性の悪用を阻止する事を最優先に考える人間によって為されるもので、
      国家の利益はそれに次ぐという思想は、中国政府からすると看過できないものなのかもしれない、とか。

      中国人のエンジニアはこれを見て何を思うのだろう。

      • by Anonymous Coward

        中国人のエンジニアはこれを見て何を思うのだろう。

        全員がエンジニアかは知らないけど、中国の方では「アリババは売国奴だ~」って吹き上がってるみたいですね
        エンジニアと言えど脆弱性報告なんて滅多にすることじゃないので他人事でしょう

        • by Anonymous Coward

          そりゃアリババを擁護する発言なんかした日にゃ自分が目をつけられますからね。

    • by Anonymous Coward

      まあ国に報告させて広く共有しようってのは日本もIPAがやってる。国への報告は一般的。

      • by Anonymous Coward

        > まあ国に報告させて広く共有しようってのは日本もIPAがやってる。国への報告は一般的。

        でも一次開発元よりも先に国に報告せよとか
        国に報告しないと罰則とか
        はないので、この件についてはまるで違いますよ

        • by Anonymous Coward

          でも一次開発元よりも先に国に報告せよとか

          他で言われてるようにデマです。

          国に報告しないと罰則とか

          脆弱性ではないですけど、日本でもそういうのいっぱいありますよ。
          電気通信事業者はもちろんですし、鉄道事業者とか航空会社とか。
          インフラ系の許認可事業は国民の生活に関わるので問題を見つけたら国に報告は基本。
          単に中国はその範囲が広いってだけですね。

    • by Anonymous Coward

      タイトルでは『政府より先に』ってなってるのに本文では『すぐに政府に報告しなかった』ってなってて実際の問題点がよく分からん感じの記事になってる。中国政府を非難する気持ちが先に立ってるのか不正確になるのは良くないですね。

    • by Anonymous Coward

      でも、中国は実際にこの脆弱性を使って今月に入って他国に攻撃を仕掛けてるわけで、先に言ってたら、もっと酷いことになってるんじゃないかな。まだ気づいてないだけで、国内にも被害出てるだろうし「国内法を守りましょうね」って意見は正論だとしてもお人良し過ぎると思う。民主主義じゃない以上、中国人が中国の法を守って損するのはこっちなんだから。

  • by Anonymous Coward on 2021年12月24日 15時54分 (#4175809)

    Alibaba CloudがLog4jの脆弱性を中国政府に「最初に」報告しなかったとして連携停止処分というデマについて [note.com]

    別にOSSコミュニティに先に報告しても構わんらしい。というかむしろ報告が推奨されてる。ただし48時間以内に政府にも報告してねってこと。
    つかスラドの本文にも「発見から48時間以内に政府に新しい脆弱性を報告する必要がある」って書いてるんだから誰かタイトルとの矛盾に突っ込めよ。

    ここに返信
    • by Anonymous Coward

      相変わらずタイトル詐欺のデマなのはわかるけど、アリババだし中国だしさもありなんってなっちゃう。

      逆にこの処罰という結果を導くために、ツッコミどころのない法律と事実の中で、誰がどう暗躍したんだろうと勘ぐってしまう。

      • by Anonymous Coward

        > デマなのはわかるけど、さもありなんってなっちゃう。

        余計まずいだろ
        擁護なのか何なのか、「けど」の意味が全然わからん

      • by Anonymous Coward

        「さもありなんってなっちゃう」、「勘ぐってしまう」、それをデマと言います。

  • 中国政府にとって「良い方向であれ、悪い方向であれ、中国政府の予想が付かない方向に中国社会を変えかねない危険な存在」No.1は中国国内の大手IT企業じゃなかろ〜か??
    なので、時々、しめつけて「お前らは政府のコントロールから外れたら、ただじゃ済まんぞ」と調教する必要が有る、と。

    ここに返信
  • by x-rebuttal (33869) on 2021年12月24日 17時48分 (#4175907)

    中国の政治体制と、オープンとか自由とかの理念が共存し得ないでしょ
    別にどっちが正義とか言いたいわけではなくて、考え方の土台からして違うのに、個々の事例について違和感を覚えるとか言っても、そりゃそうだとしか言えないのでは

    ここに返信
    • by Anonymous Coward

      中国ってオープンソース開発がハードソフト共に活発に見えるけど

      • by x-rebuttal (33869) on 2021年12月25日 12時08分 (#4176244)

        あくまで政府の監視の下、国家の利益に反しない限り、でしょ
        反政府的な要素を盛り込んだら即座に閉鎖、処罰されるだろうし、何を以て反政府的とするか自体を政府が決められる

      • by Anonymous Coward

        まぁ、政府からプロプライエタリな製品のソースも提供しろって言われるし
        オープンだよね
        誰に対してかは知らんけど

  • by Anonymous Coward on 2021年12月24日 13時21分 (#4175700)

    会社の社員が業務に関する情報を上司&会社よりも先にブログで公開して怒られたとか,部外秘のソースコードをgithubで公開しちゃった,ってのと同じ話です.

    「社員の成果は会社に帰属する」というのは日本の常識ですが,中国では「全てが国に帰属する」が常識なんです.
    中国政府としては,アメリカというライバル企業にバカ社員が情報をリークした!違和感なんていうやつは,コトの重大さが分かってない大馬鹿者だ!クビ!という感じでなんでしょう.怖い.

    ここに返信
    • by Anonymous Coward on 2021年12月25日 10時57分 (#4176224)

      だとしたらオープンソースに手を出さないでほしい

    • by Anonymous Coward

      中国では「全てが国に帰属する」が常識なんです.

      え?同士書記長個人にではなくて?

      コトの重大さが分かってない大馬鹿者だ!クビ!

      え?解雇で済むの?物理ではなくて?

      # 店屋物 天安門 とかいとけばいいか

      • by Anonymous Coward

        中国政府が「クビ」って言ったら解雇のことじゃない方だろ。切り落す方。

  • 軍事大国はどこも、諜報やサイバー攻撃に使えるゼロデイ脆弱性をたくさん見つけて、
    いざというときに備えてたくさんコレクションしてるでしょう

    ベンダーに報告するか、自分たちで独占するか、場合によって使い分けてるとおもう

    ここに返信
  • by Anonymous Coward on 2021年12月24日 13時52分 (#4175721)

    日本でも15年前からIPAに届け出る制度が運用されてきたけど、「政府がゼロデイに使われちゃう〜」なんて思いもしなかったなあ。中国って……

    ここに返信
    • by Anonymous Coward

      「政府がゼロデイに使われちゃう〜」なんて思いもしなかったなあ。中国って……

      日本のえらいひと「ようわからん」
      中国のえらいひと「なんてこったしょばつだ」

      # 優秀なのはどっちかというと悩ましいところだ

    • by Anonymous Coward

      「政府がゼロデイに使われちゃう〜」

    • by Anonymous Coward

      日本政府ばバカだから、ゼロデイを収集するっていうことを考え付かないんだろ?
      ゼロデイ脆弱性の在庫は、ミサイルの在庫に匹敵する

  • by Anonymous Coward on 2021年12月24日 14時22分 (#4175743)

    サイバーテロに利用すんだから他に報告なんかさせねーぞ。
    他への報告を阻止する方法はそりゃもう・・・

    というところまで読んだんですが、なにか誤読してますか?

    ここに返信
    • by Anonymous Coward

      いえ。まっとうな考え方です。
      余計な機能を搭載させたLog4jの責任者は誰だったのか、なぜそのような危険物を仕込んだのか明らかにすべきです。
      それが中国共産党員でなければよいのですが。

      • by Anonymous Coward

        この人の「中国共産党員」は、どんなイメージなんだろう
        9000万人も同じような人間がいると思ってるのかな

  • by Anonymous Coward on 2021年12月24日 15時12分 (#4175778)

    駄目なんだろうなw

    ここに返信
  • by Anonymous Coward on 2021年12月24日 15時25分 (#4175785)

    「脆弱性を発見したら48時間以内に報告せよ」って契約してたら、そうしてくんないと困るだろ
    「開発元に連絡して対応するのがOSSのやり方なんで」って言って何も連絡してこないITエンジニアとか
    それこそ違和感の塊しかない
    「だってあなたもセキュリティ情報のサイトとかチェックしてれば気づくから同じでしょう?」とか平気で言い出しそう

    ここに返信
  • by Anonymous Coward on 2021年12月24日 16時38分 (#4175849)

    国家によるネット検閲がかなり成功してる国だと(その気になれば)出来ることはあるだろうしな。

    ここに返信
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...