中国の脆弱性データベースの遅延は「わざと」?サイバー攻撃集団と関連の可能性も
中国の脆弱性関連情報共有プログラムに計画的な遅延が発生している可能性があると指摘されている。
そもそも脆弱性関連情報共有プログラムとは
「脆弱性関連情報共有プログラムとは何か」わからない場合のために、このセクションで簡単に説明する。(分かる場合は次のセクションへ飛ばして構わない。)
脆弱性関連情報共有プログラムとは、その国で使用されているソフトウェア、プログラムの脆弱性に関する情報を共有するプログラムのことだ。
主に政府機関がポータルサイトを用意しており、脆弱性が発見され次第、固有の識別IDを付与されてデータベースに登録されていく仕組みである。
日本にもJapan Vulnerability Notes(以下、JVN)というデータベースが提供されている。
新しくゼロデイ脆弱性が発見された時に、JVNを共同管理するJPCERTかIPAに報告されると、JVNに登録される。
ちなみに、世界共通の脆弱性識別IDであるCommon Vulnerability Exposure(以下、CVE)という識別子も存在する。
サイバー攻撃は、今や国境にかかわらず発生しており、多くの攻撃が既知の脆弱性をエクスプロイトするものだ。
その為、確認された脆弱性に対して識別IDを付与して一元的にデータベース管理することで、ある場所で発覚した脆弱性情報を、別の場所でも参照する事が出来る。
そうする事で、サイバー攻撃に対して準備することが出来るのだ。
世界トップクラスの中国の脆弱性情報共有プログラム
中国の脆弱性管理プログラム、"China's National Vulnerability Database"(以下、CNNVD)は、脆弱性調査のスピードにおいて、アメリカの同様プログラムであるNational Vulnerability Database(以下、NVD)を遥かに上回る能力があるという。
具体的には、CNNVDへの脆弱性情報登録にはおよそ13日しかかからないのに対して、アメリカのNVDには、33日も要するという。
更に、CNNVDに登録されているにも関わらず、NVDに登録されていない脆弱性情報は、なんと1746件にも達しているようだ。
中国政府機関がサイバー攻撃集団をマネジメント
セキュリティ企業・Recorded Futureの調査によれば、CNNVDのバックには、中华人民共和国国家安全部(MSS)がついていると予測する。
※補足: Managed Security Serviceを意味するMSSがあるが、この記事内でのMSSとは、China’s Ministry of State Securityの頭文字を取ったMSSである。
実は、CNNVEDを管理している組織と、MSSは同じビルの同じ階に位置しているようだ。
さらに、Recorded Futureは、MSSは中国政府と関連のあるサイバー攻撃集団のマネジメントも行っている可能性が高い事も報告している。
MSSがCNNVD登録の遅延の原因か
以上に述べたことから、Recorded Futureは「MSSがCNNVDに脆弱性情報を登録する際に発生している原因」であることを推測している。
脆弱性情報登録が遅延するケースの殆どが、MSSがマネジメントする中国系サイバー攻撃によってエクスプロイトされる脆弱性のようだ。
遅延することのメリットとして、政府機関・企業の脆弱性対応が間に合わずにエクスプロイト出来てしまう事が挙げられる。
攻撃者の立場からすれば、対応が間に合っていない企業に対して攻撃を仕掛けるのは、対策されている企業と比較して楽なのは言うまでもない。