〈iPhoneでも、テスラのEVでも〉世界のハッキング大会で次々に発覚、プログラムの脆弱性を見つけられない日本は蚊帳の外
コメント
注目のコメント
脆弱性は国家資源。これは中国にとっても米国にとっても、世界にとっても常識。
中国ではソフトウェアの脆弱性を見つけたら、そのベンダーに報告するのではなく、規制当局に報告しなければならないという法律があります。
かの有名な世界的な大混乱を引き起こしたLog4Jの脆弱性情報を見つけたアリクラウドのエンジニアは、当局に報告する前に、ソフトウェア提供元のApacheに報告したため、この法令に反しているとして中国政府から処分を受けました。
Apatchに情報が提供されていてもあれだけの大混乱を引き起こしたので、もしそのエンジニアがApatchに報告してくれなかったら、あらゆるところで政府主導によるサイバースパイ活動に使われたことでしょう。「ゼロデイ」という未知の抜け穴を探すハッキング大会が度々行われています。
穴を探し出したチームには多額の商品が授与されたりしますが、こういう大会で見つかった穴、すなわち欠陥を炙り出し、対策を行う事が目的です。
中国においては海外の大会への出場を禁止する状態であり、こうした脆弱性を見つけ出すノウハウを海外に出さないような対策をとっています。
セキュリティ上「ゼロデイ」を見つけ出すノウハウは重要です。セキュリティは今や防衛にも関わる重要な要素です。