Alibaba Cloudは、「Apache Log4j」の脆弱性について中国工業情報化部(MIIT)に報告するより先にApache Software Foundationに報告したことで政府当局の反感を買っていると中国メディアが報じた。
MIITのサイバーセキュリティ管理機関がAlibaba Cloudとの情報共有プラットフォームなどに関するパートナーシップを半年間停止することを、中国の報道機関が現地時間12月22日に知らされたと21st Century Business Heraldは報じている。Log4jについて報告を怠ったためだという。
Alibaba CloudのセキュリティエンジニアChen Zhaojun氏がLog4jの脆弱性を発見し、Apacheに最初に報告したとされている。同氏は11月24日にApache Software Foundationに伝えたとBloomberg Newsは報じている。Reutersによれば、MIITはその後、第三者から報告を受けた。
地元のメディアは、「Alibaba Cloudは最近、Apache Log4j2のコンポーネントの深刻なセキュリティ脆弱性を発見した後、通信当局に適切なタイミングで報告することを怠り、MIITがサイバーセキュリティ脅威と脆弱性の管理を実施するための効果的なサポートをしなかった」と報じている。
中国は最近、すべての企業が脆弱性を2日以内に当局に報告することを義務付ける新たな規制を施行したとThe Protocolは述べている。
中国政府はここ数カ月、サイバーセキュリティやプライバシーの管理を強化している。複数の法案を可決し、中国国外で共有されるデータを保護する必要性について大手企業に警告していた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
