コンテンツにスキップする

アリババ、脆弱性報告の遅れ認める-中国工業情報省の非難後

  • アリクラウドのエンジニア、Log4jの脆弱性を発見し財団に通知
  • 中国工業情報省はアリクラウド部門との協力を一時停止-報道
Alibaba headquarters in Hangzhou, China.

 Photographer: Qilai Shen/Bloomberg

Alibaba headquarters in Hangzhou, China.

 Photographer: Qilai Shen/Bloomberg

中国の電子商取引大手アリババグループは23日、広く使われているプログラミング言語Java(ジャバ)のログ出力ライブラリー「Apache Log4j」の脆弱(ぜいじゃく)性について報告が遅れたことを認め、その重大さを認識していなかったためだと説明した。前日には中国工業情報省が同社のクラウド部門との協力を一時停止した。

アリババADRが下落、クラウド部門と中国当局の協力一時停止報道で

  アリババのクラウド部門、アリクラウドのエンジニアはLog4jの脆弱性を発見し、11月にこのツールの保守を支援するアパッチ・ソフトウエア財団メンバーに電子メールで通知した。これをきっかけに、世界の企業や政府などの間では、ハッカーに不正侵入用の裏口を設置される前に重要なコンピューターシステムの更新を急ぐ動きが広がった。

  近年で最も重大な脆弱性となる可能性のあるLog4jの問題の発見でアリクラウドのエンジニアが果たした役割をサイバーセキュリティー業界の多くが称賛したが、中国工業情報省はアリババがこの脆弱性を時宜を得たやり方で報告しなかったと非難したと中国紙は今週報道。同省はアリクラウドとのサイバーセキュリティー情報共有プラットフォームに関する協力を半年間停止した。プロジェクト再開の是非を判断する前に「是正措置」を検討する方針を示したと21世紀経済報道は伝えた。

  アリババは23日の投稿で、このエンジニアは世界的な業界慣行を順守したが、不十分だったとの見解を表明。「われわれはその重大性に気づいていなかったため、脆弱性に関する情報を十分迅速に共有しなかった」と認め、「今後は、セキュリティーの脆弱性報告システムを強化し、コンプライアンス(法令順守)意識を高め、すべての関係者と積極的に協力してインターネットセキュリティーを向上させる」考えを示した。

  同省の協力停止は情報共有プラットフォームのみを対象とするが、アリババで電子商取引に次いで最大の収入源であるクラウド事業全般の潜在顧客を警戒させる恐れがある。

原題:Alibaba Admits Slow to Report Software Bug After Beijing Rebuke(抜粋)

    最新の情報は、ブルームバーグ端末にて提供中 LEARN MORE