中国政府は昨年、ネットワーク/アプリケーション/産業用制御システム/スマートカーなどの脆弱性を報告させるためのプラットフォーム(サイト)を立ち上げています。
更には、脆弱性情報を公表するデータベースとして、米国NVDの中国版といえるCNNVDがあります。
これら脆弱性情報の収集、管理、公表の仕組みは日本にも既にあり、この詳細は以前に次の記事に書きました。
今回の記事は中国における脆弱性情報について、様々な関連記事を読み、かつ自らCNNVDにアクセスしての評価を書いてみます。
米国NVDとの違い
一番気になるのは、米国NVDとの違いです。
情報の量や質についてどうなのか?
これについては、以下の記事にわかりやすく書かれていました。
記事には、
CNNVDの方が即時性の点でNVDを大きく上回っているものの、実際に中国のAPT攻撃グループが悪用している深刻な脆弱性など、一部のものについては、CNNVDでの掲載が意図的に遅らされている可能性があるとしています
とあります。
この違いは、米国MITRE社が発行する脆弱性識別番号CVEが米国NVDの登録では要求されるので、その調整に時間を要するとのこと。
CNNVDでもCNNVDという固有の識別番号を付与していますが、これは発見・通報されるとすぐに割り当てられるようです。
情報の質については、CNNVDオリジナルの情報は、基本情報が入っていなかったり説明が少ないなど、まだまだこれからのようです。
情報の量という意味で記事には、
CNNVDはCVEにこだわらずにさまざまな情報源から積極的に情報を取り込む「能動的」なプロセスをとっており、この違いが即時性だけでなく、結果的に網羅性でもCNNVDが上回っている理由と考えられます。
やはり中国です。人口が多いだけあってセキュリティ研究者やホワイトハッカーも相当数いて、情報もたくさん寄せられているようです。
気になること
記事には、
Microsoft Officeの脆弱性(CVE-2017-0199)はNVDでの掲載から57日後にCNNVDに掲載されていますが、その遅れの間に中国のAPT攻撃グループがこの脆弱性を積極的に悪用していたそうです。
とあります。
この点について気になり、今年5月頃に米国NVDに掲載された、F5 BIG-IPの脆弱性(CVE-2022-1388)について調べてみました。
この脆弱性は中国の攻撃グループ「BlackTech」が悪用したと報道されました。
これがNVDとCNDVDにどのタイミングで掲載されたのか確認してみました。
NVDは2022年5月5日に公開されています。
CNNVDでは2022年5月4日に収録されています。
比較すると、CNNVDの方が1日掲載が早いようです。
CNNVDも最近は運用が公的なものとして、立てついてきたのかもしれません。
ここまでの結論ですが、今後中国に進出する企業においてはCNNVDなどに自社製品に係わる脆弱性情報がないか、確認する必要性が高まりそうです。