Atlantic Council 巧妙な手口:中国がソフトウェアの脆弱性を武器にする方法
こんにちは、丸山満彦です。
Atlantic Council [wikipedia] が、「巧妙な手口:中国がソフトウェアの脆弱性を武器にする方法」という文書を公表していますね。。。
・2023.09.06 Sleight of hand: How China weaponizes software vulnerabilities
| Sleight of hand: How China weaponizes software vulnerabilities | 巧妙な手口:中国がソフトウェアの脆弱性を武器にする方法 |
| Table of contents | 目次 |
| Executive summary | 要旨 |
| Introduction | 序文 |
| China’s software vulnerability disclosure ecosystem | 中国のソフトウェア脆弱性開示エコシステム |
| Before the RMSV | RMSV以前 |
| China National Vulnerability Database (CNVD) | 中国国家脆弱性データベース(CNVD) |
| China National Vulnerability Database of Information Security (CNNVD) | 中国情報セキュリティ国家脆弱性データベース(CNNVD) |
| China’s New Vulnerability Management System under the RMSV: The NVDB | RMSVの下での中国の新しい脆弱性管理システム:NVDB |
| Few good options | 良い選択肢はほとんどない |
| Conclusion | 結論 |
| Key recommendations | 主な提言 |
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| The Cyberspace Administration of China (CAC), the Ministry of Public Security (MPS), and the Ministry of Industry and Information Technology (MIIT) published the “Regulations on the Management of Network Product Security Vulnerabilities” (RSMV) in July 2021. Even before the regulations were implemented in September 2021, analysts had issued warnings about the new regulation’s potential impact.1 At issue is the regulations’ requirement that software vulnerabilities—flaws in code that attackers can exploit—be reported to the MIIT within forty-eight hours of their discover by industry (Article 7 Section 2).2 The rules prohibit researchers from: publishing information about vulnerabilities before a patch is available, unless they coordinate with the product owner and the MIIT; publishing proof-of-concept code used to show how to exploit a vulnerability; and exaggerating the severity of a vulnerability.3 In effect, the regulations push all software-vulnerability reports to the MIIT before a patch is available. Conversely, the US system relies on voluntary reporting to companies, with vulnerabilities sourced from researchers chasing money and prestige, or from cybersecurity companies that observe exploitation in the wild. | 中国サイバー空間管理局(CAC)、公安部(MPS)、工業情報化部(MIIT)は2021年7月、「ネットワーク製品セキュリティ脆弱性管理規則」(RSMV)を発表した。この規則が2021年9月に施行される前から、アナリストたちはこの新規制の潜在的な影響について警告を発していた[1]。問題になっているのは、ソフトウェアの脆弱性(攻撃者が悪用可能なコードの欠陥)を産業界が発見してから48時間以内にMIITに報告することを義務付ける規制である(第7条第2項)[2]。同規制では、研究者が製品所有者やMIITと調整しない限り、パッチが提供される前に脆弱性に関する情報を公表すること、脆弱性を悪用する方法を示す概念実証コードを公表すること、脆弱性の重大性を誇張することを禁じている[3]。事実上、この規制は、パッチが利用可能になる前に、すべてのソフトウェア脆弱性報告をMIITに押し付けている。逆に、米国のシステムは、企業への自主的な報告に依存しており、脆弱性は、金と名声を追い求める研究者、あるいは、野生の脆弱性悪用を観察するサイバーセキュリティ企業から提供されている。 |
| Software vulnerabilities are not some mundane part of the tech ecosystem. Hackers often rely on these flaws to compromise their targets. For an organization tasked with offensive operations, such as a military or intelligence service, it is better to have more vulnerabilities. Critics consider this akin to stockpiling an arsenal.4 When an attacker identifies a target, they can consult a repository of vulnerabilities that enable their operation. Collecting more vulnerabilities can increase operational tempo, success, and scope. Operators with a deep bench of tools work more efficiently, but companies patch and update their software regularly, causing old vulnerabilities to expire. In a changing operational environment, a pipeline of fresh vulnerabilities is particularly valuable. | ソフトウェアの脆弱性は、ハイテク・エコシステムのありふれた一部ではない。ハッカーはしばしば、標的を侵害するためにこれらの欠陥を利用する。軍や諜報機関のような攻撃的な作戦を任務とする組織にとっては、脆弱性は多い方がいい。批評家たちは、これは兵器庫の備蓄に似ていると考えている[4]。攻撃者は標的を特定すると、その作戦を可能にする脆弱性のリポジトリを参照することができる。より多くの脆弱性を収集することで、作戦のテンポ、成功率、スコープを向上させることができる。しかし、企業は定期的にパッチやアップデートを行うため、古い脆弱性は期限切れになる。変化する作戦環境において、新鮮な脆弱性のパイプラインは特に貴重である。 |
| This report details the structure of the MIIT’s new vulnerability databases, how the new databases interact with older ones, and the membership lists of companies participating in these systems. The report produces four key findings. | 本報告書では、MIITの新しい脆弱性データベースの構造、新しいデータベースと古いデータベースとの相互作用、およびこれらのシステムに参加している企業の会員リストについて詳述する。本報告書では、4つの重要な発見がなされている。 |
| 1. The RMSV (Article 7, Section 3) requires the MIIT’s new database to share vulnerability and threat data with the National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC) and Ministry of Public Security (MPS). Sharing these data with CNCERT/CC allows them to reach organizations with offensive missions. CNCERT/CC’s partners can access vulnerability reports through its own China National Vulnerability Database (CNVD). The CNVD’s Technology Collaboration Organizations with access to reports submitted to MIIT include: the Beijing office of the Ministry of State Security’s (MSS) 13th Bureau (Beijing ITSEC, 北京信息安全测评中心), Beijing Topsec—a known People’s Liberation Army (PLA)-contractor connected to the hack of Anthem Insurance, and a research center responsible for “APT [advanced persistent threat] attack and defense” at Shanghai Jiao Tong University, which houses a cybersecurity school tied to PLA hacking campaigns.5 The vulnerability sharing with the MSS 13th Bureau’s Beijing office is particularly concerning. Experts note that the bureau spent the last twenty years getting early access to software vulnerabilities.6 | 1. RMSV(第7条第3項)は、MIITの新データベースに対し、脆弱性と脅威のデータを中国国家コンピュータネットワーク緊急対応技術チーム/調整センター(CNCERT/CC)および公安部(MPS)と共有するよう求めている。これらのデータをCNCERT/CCと共有することで、攻撃的な使命を持つ組織に働きかけることができる。CNCERT/CCのパートナーは、独自の中国国家脆弱性データベース(CNVD)を通じて脆弱性レポートにアクセスすることができる。MIIT に提出された報告書にアクセスできる CNVD の技術協力組織には、以下のものがある: 国家安全保障省(MSS)第13局北京事務所(北京ITSEC、北京信息安全测评中心)、人民解放軍(PLA)の下請け業者として知られる北京トップセック(Anthem Insuranceのハッキングに関係)、「APAP」を担当する研究センターなどがある、 そして上海交通大学の「APT(高度持続的脅威)攻撃と防御」を担当する研究センターは、PLAのハッキングキャンペーンに関連したサイバーセキュリティスクールを擁している。 [5] MSS第13局の北京事務所との脆弱性共有は特に問題だ。専門家は、同局は過去20年間、ソフトウェアの脆弱性にいち早くアクセスすることに費やしてきたと指摘している[6]。 |
| 2. There are likely bureaucratic issues involved in implementing the RMSV among relevant entities. Mandatory disclosure of vulnerabilities to MIIT undercuts other, government-run, voluntary databases in China. CNVD disclosed fewer vulnerabilities after the regulation went into effect, and its publication of vulnerabilities for industrial control systems ground to a halt in 2022. This decline is likely the result of CNVD waiting for a patch before publishing. With no reporting requirement, and the inability to publish without a patch, the value of the voluntary database is unclear. One benefit may be collection. CNCERT/CC has incident-response contracts with thirty-one countries.7 It is unclear if these contracts allow CNCERT/CC to collect vulnerability information. | 2. 関連事業体の間でRMSVを実施するには、官僚的な問題があると思われる。MIITへの脆弱性開示のガバナンスの義務化は、中国における他の政府運営の任意データベースを弱体化させる。CNVDは規制発効後、脆弱性の開示を減らし、産業用制御システムの脆弱性の公表は2022年に停止した。この減少は、CNVDが公開前にパッチを待った結果であると思われる。報告義務がなく、パッチがなければ公表できないため、自主データベースの価値は不明確である。一つの利点は収集であろう。CNCERT/CC は、31 カ国とインシデント対応契約を結んでいる[7] 。これらの契約により、 CNCERT/CC が脆弱性情報を収集できるかどうかは不明である。 |
| 3. Besides just collecting software vulnerabilities, the MIIT is funding their discovery through research grants to improve product security standards. | 3. ソフトウェアの脆弱性を収集するだけでなく、MIITは、製品のセキュリティ標準を改善するための研究助成金を通じて、脆弱性の発見に資金を提供している。 |
| 4. An MSS vulnerability database requires its private-sector partners to produce software vulnerabilities. These 151 cybersecurity companies provide software vulnerabilities to the MSS 13th Bureau. This report finds that these companies employ at least 1,190 software vulnerability researchers. Each year the researchers provide at least 1,955 software vulnerabilities to the MSS, at least 141 of which are “critical” severity. Once received by the MSS, they are almost certainly evaluated for offensive use. | 4. MSS 脆弱性データベースは、民間パートナーにソフトウェア脆弱性の提供を求めている。これら151のサイバーセキュリティ企業は、ソフトウェアの脆弱性をMSS第13局に提供している。本報告書によれば、これらの企業は少なくとも1,190人のソフトウェア脆弱性研究者を雇用している。毎年、研究者は少なくとも1955件のソフトウェア脆弱性をMSSにプロバイダしており、そのうち少なくとも141件は「クリティカル」な重大度である。MSSが受け取った脆弱性は、ほぼ間違いなく攻撃的な利用が可能かどうか評価される。 |
| The mandates to disclose vulnerabilities to the Ministry of Industry and Information Technology, not to publish vulnerability information without also simultaneously releasing a patch, not to release proof-of-concept code, and not to hype up the severity of a vulnerability, among other things, stands in stark contrast to the United States’ decentralized, voluntary reporting system. | 産業技術省に脆弱性を開示すること、同時にパッチをリリースすることなく脆弱性情報を公表しないこと、概念実証コードをリリースしないこと、脆弱性の深刻度を誇張しないことなどが義務付けられており、米国の分散化された自発的な報告システムとは対照的である。 |
[1] Dakota Cary, “China’s New Software Policy Weaponizes Cybersecurity Research,” The Hill, July 22, 2021, https://thehill.com/opinion/cybersecurity/564318-chinas-new-software-policy-weaponizes-cybersecurity-research; Brad D. Williams, “China’s New Data Security Law Will Provide It Early Notice of Exploitable Zero Days,” Breaking Defense, September 1, 2021, https://breakingdefense.com/2021/09/chinas-new-data-security-law-will-provide-it-early-notice-of-exploitable-zero-days.
[2] It seems that when researchers discover vulnerabilities in other companies’ codebases, they are also required to share that information with the MIIT. Jonathan Greig, “Chinese Regulators Suspend Alibaba Cloud over Failure to Report Log4j Vulnerability,” ZDNet, December 22, 2021, https://www.zdnet.com/article/log4j-chinese-regulators-suspend-alibaba-partnership-over-failure-to-report-vulnerability.
[3] It seems that when researchers discover vulnerabilities in other companies’ codebases, they are also required to share that information with the MIIT. Jonathan Greig, “Chinese Regulators Suspend Alibaba Cloud over Failure to Report Log4j Vulnerability,” ZDNet, December 22, 2021, https://www.zdnet.com/article/log4j-chinese-regulators-suspend-alibaba-partnership-over-failure-to-report-vulnerability.
[4] Brad Smith, “The Need for Urgent Collective Action to Keep People Safe Online: Lessons from Last Week’s Cyberattack,” Microsoft on the Issues, May 14, 2017, https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack.
[5] Ellen Nakashima, “Security Firm Finds Link between China and Anthem Hack,” Washington Post, February 27, 2015, https://www.washingtonpost.com/news/the-switch/wp/2015/02/27/security-firm-finds-link-between-china-and-anthem-hack; Dakota Cary, “Academics, AI, and APTs: How Six Advanced Persistent Threat-Connected Chinese Universities are Advancing AI Research,” Center for Security and Emerging Technology, March 2021, https://cset.georgetown.edu/publication/academics-ai-and-apts.
[6] China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States, testimony before the U.S.-China Economic and Security Review Commission hearing. Statement by Adam Kozy, CEO and founder, SinaCyber, former FBI and CrowdStrike, 2022, https://www.uscc.gov/sites/default/files/2022-02/Adam_Kozy_Testimony.pdf.
[7] Xinhua. “Full Text: Jointly Build a Community with a Shared Future in Cyberspace” archive.ph, May 23, 2023. https://archive.ph/AqhdW.
● まるちゃんの情報セキュリティ気まぐれ日記
ネットワーク製品のセキュリティ脆弱性管理に関する規定 (Regulations on the Management of Network Product Security Vulnerabilities; RSMV)
・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開
Comments