国家の「ゼロデイ情報」争奪戦　サイバー戦争激化の中

「中国当局がゼロデイ情報を早期、独占的に入手」

　防衛関連メディアのBreaking Defenseは、9月1日に施行された中国の「サイバーセキュリティ法（CSL）」の脆弱性開示規定を詳しく報じた。ゼロデイ脆弱性が同国に悪用されるとして強く警戒している。

　CSLは今回、「ネットワーク製品のセキュリティ脆弱性情報は、発見から2日以内に中国工業情報化省（MIIT）に報告しなければならない」と定めた。国内の全セキュリティ研究者、中国企業だけでなく、中国内に拠点を持つ外国企業も規制の対象だ。

　つまり、中国外の企業が自社製品のゼロデイ脆弱性を発見した場合も、即座に報告しなければならないことになる。違反にはCSLの罰則が適用される。また、情報源の共有が厳しく制限され、“他に漏らしても”罰せられる。

　Breaking Defenseは「中国政府が、ゼロデイ情報の情報を、ほぼ独占的に早期に入手でき」「修正や悪用の可能性を中国政府に先取りさせることになる」と言う。

　保守系シンクタンク、ヘリテージ財団の上級研究員で、中国の軍事に詳しいDean Cheng氏は、中国当局がゼロデイ情報を攻撃活動に利用する可能性をBreaking Defenseに問われ、「100％」と答えている。

　米側の不信感は、過去20年も続くという執拗なサイバー攻撃の結果、極めて強くなっている。