[北京/香港 22日 ロイター] - 中国の規制当局は22日、電子商取引(EC)大手アリババ・グループのクラウドサービス子会社「阿里雲(アリババ・クラウド・コンピューティング)」との情報共有パートナーシップを停止した。
サイバーセキュリティー上の脆弱性を迅速に報告・対処しなかったことを非難している。政府系メディアが伝えた。
21世紀経済報道が工業情報省による最近の通知を基に伝えたところによると、阿里雲は人気の高いオープンソースのロギングフレームワーク「Apache Log4j2」の脆弱性を中国当局に直ちに報告しなかった。
これを受けて同省は、サイバーセキュリティーの脅威や情報共有プラットフォームに関する阿里雲との協力パートナーシップを一時停止するとともに、6カ月後に再評価し、同社の内部改革に応じて復活させることにしたという。
今回の措置は、国家安全保障の名の下に主要なオンラインインフラやデータの管理を強化しようとする中国当局の意図を浮き彫りにしている。中国政府は国有企業に対し、来年までにデータをアリババや騰訊控股(テンセント・ホールディングス)といった民間事業者から国が後押しするクラウドシステムに移行するよう求めている。
また、世界中の企業や政府の間でパニックを引き起こした脆弱性に対する中国当局の懸念も浮き彫りにした。「Apache Log4j2」はJavaベースのツールで、企業のシステムやウェブアプリケーションで広く使われている。
工業情報省は先週の通知で「この脆弱性は機器の遠隔操作につながる可能性があり、これは機密情報の盗難や機器のサービス阻害といった重大な被害につながる可能性がある。リスクの高い脆弱性だ」と指摘した。
通知文によると、阿里雲は最近、「Apache Log4j2」コンポーネントにリモートコード実行の脆弱性を発見し、米国の「Apache Software Foundation」に通知。同省はその後、阿里雲からではなく、第三者からこの問題に関する報告を受けたという。
阿里雲は今回の停止措置についてコメントを控えた。
ロイター
https://jp.reuters.com/article/china-alibaba-idJPKBN2J10DD
サイバーセキュリティー上の脆弱性を迅速に報告・対処しなかったことを非難している。政府系メディアが伝えた。
21世紀経済報道が工業情報省による最近の通知を基に伝えたところによると、阿里雲は人気の高いオープンソースのロギングフレームワーク「Apache Log4j2」の脆弱性を中国当局に直ちに報告しなかった。
これを受けて同省は、サイバーセキュリティーの脅威や情報共有プラットフォームに関する阿里雲との協力パートナーシップを一時停止するとともに、6カ月後に再評価し、同社の内部改革に応じて復活させることにしたという。
今回の措置は、国家安全保障の名の下に主要なオンラインインフラやデータの管理を強化しようとする中国当局の意図を浮き彫りにしている。中国政府は国有企業に対し、来年までにデータをアリババや騰訊控股(テンセント・ホールディングス)といった民間事業者から国が後押しするクラウドシステムに移行するよう求めている。
また、世界中の企業や政府の間でパニックを引き起こした脆弱性に対する中国当局の懸念も浮き彫りにした。「Apache Log4j2」はJavaベースのツールで、企業のシステムやウェブアプリケーションで広く使われている。
工業情報省は先週の通知で「この脆弱性は機器の遠隔操作につながる可能性があり、これは機密情報の盗難や機器のサービス阻害といった重大な被害につながる可能性がある。リスクの高い脆弱性だ」と指摘した。
通知文によると、阿里雲は最近、「Apache Log4j2」コンポーネントにリモートコード実行の脆弱性を発見し、米国の「Apache Software Foundation」に通知。同省はその後、阿里雲からではなく、第三者からこの問題に関する報告を受けたという。
阿里雲は今回の停止措置についてコメントを控えた。
ロイター
https://jp.reuters.com/article/china-alibaba-idJPKBN2J10DD