ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

中国CNCERT/CCの月報を読んでみる

中国CNCERT/CCの週報は以前にご紹介しましたが、月報「インターネットセキュリティ脅威レポート(互联网安全威胁报告)」には何が書いてあるかざっくりまとめてみました。

月報のインデックスはこちら。今回読んでみるのは2022年3月分です。 www.cert.org.cn

以下、数字の増減はすべて前月比です。 (なお「境内」は国内、「境外」は国外の意味ですが香港は中国国内でも「境外」扱い)

ウェブサイト改ざん

  • 境内の改ざんサイトは9,080 (+173.2%)
    • 上位3省 : 北京市山東省、広東省
    • .COMが最多、.GOVは50 (+26)、境内改ざんサイト全体の0.6%
  • 境内のバックドアを仕掛けられたサイトは2,524 (+40.5%)
  • 境内2,262サイトを境外IPアドレス2,918個が遠隔制御
    • それら境外IPの主なものは香港、米国、アルメニア
    • 制御している国内IP数では香港が513で最多。ついで米国453、英国441。

フィッシング

  • 境内サイトに対するフィッシングページ数は115。

トロイの木馬ボットネット

脆弱性

  • 今月CNCERTが収集整理した脆弱性は2,431件 (+42.7%)。Criticalは781件 (+61.4%)

インシデント報告・対応

モバイル

以上

米国とEUの個人データ移転に関する基本合意についてシュレムズ氏の反応

2022/03/25、バイデン米大統領とフォンデライエン欧州委員長がブリュッセルで米EU間の個人データ移転ルールで基本合意したとのこと。

www.nikkei.com

そもそも米国のSafe Harbor、Privacy Shieldにもとづいて許可されていた欧州から米国への個人データ移転が無効になったのは、個人データ保護に関するNGO「noyb」を主宰するシュレムズ氏の訴えによる欧州司法裁判所の判断だった。

news.mynavi.jp

そのシュレムズ氏が「Privacy Shield 2.0?」と題して、今回の基本合意にさっそく反応しているので要約してみる。

このタイトルは「Privacy Shieldの単なる焼き直しなのでは?」という意味だろう。

noyb.eu

まずシュレムズ氏の現状認識は以下のとおり。

  • 単なる政治的声明であり、分析できる文書になるまで数か月かかるだろう。
  • おそらく「原則上の合意」であり、Privacy Shieldに関するこの2年間の議論を完全に解決するものではない。
  • noybの知るかぎり米国は個人データ監視に関する法律を変える計画はない。Safe HarborとPrivacy Shieldの両方を無効とした欧州司法裁判所の判断が今回くつがえるかは不透明だ。
  • 個人データの商業利用を原則とするPrivacy Shieldは更新されていない(訳注:今回の基本合意はあくまで政治的なものだということ)。
  • 今回の合意はまず法的に有効な文書にもとづいてEDPBがレビューする必要がある。実際の個人データ移転の十分性認定はそこからさらに数か月かかるだろう。
  • 各企業は正式に承認されるまであと数か月待つ必要がある。
  • EDPBが十分性認定をした場合、すぐに欧州司法裁判所の判断を待つ必要がある。
  • しっかり文書化されていない政治的な声明であるため、当面は法的に不確実な状況が生じそうだ。

この現状認識をふまえたシュレムズ氏の声明は以下のとおり。

私たちはすでに2015年に法的根拠のない純粋に政治的な合意をしています。今回の声明を聞くかぎりでは、また同じことを三度くり返すかもしれません(訳注:Safe Harbor、Privacy Shieldの無効化につづく三度目の意味)。

今回はフォンデアライエンが望んだ象徴的な合意ですが、ブリュッセルの専門家は支持していません。米国側の動きがないからです。

米国はウクライナでの戦争を利用して、EUとの経済的な問題を推し進めようとしていますが、これにはあきれるばかりです。

最終的な文書化にはもう少し時間がかかるでしょう。文書がとどけば米国法の専門家とじっくり分析するつもりです。もしEU法に沿っていなければ、私たちか別のグループが訴訟を起こすでしょう。最後には欧州司法裁判所が三度目の判決を出すことになります。数か月以内に裁判所で最終判断がされると期待しています。

残念なのは、EUと米国がこの状況を活かして、同じ民主主義をかかげる者としての基礎的な保障の上に「反諜報」合意に至ろうとしないことです。顧客や企業は向こう数年間、法的な不確実性に直面することになります。

以上のように、シュレムズ氏は今回の政治的な合意声明について、当然ながら懐疑的なようだ。

LAPSUS$の攻撃手法についてのMicrosoft社ブログ要約

MicrosoftがLAPSUS$(DEV-0537)という攻撃者の攻撃手法 (Tactics, Techniques and Procedures) について長文ブログを公開したので要約してみます。(以下、呼称はLAPSUS$を使います)

www.microsoft.com

同社自身も従業員1名のアカウントを侵害されたものの、アクセス権が限定的でリスクの上昇にはつながらなかったとのことです。

他にもNVIDIA、OktaなどもLAPSUS$の不正アクセス被害にあっているようです。

japanese.engadget.com

www.okta.com

なおこの記事を書いている時点でLAPSUS$の首謀者の1人は英国オックスフォード近郊に住む16歳の少年の疑いがあるとの報道もあります。

https://www.bloomberg.com/news/articles/2022-03-23/teen-suspected-by-cyber-researchers-of-being-lapsus-mastermind

gigazine.net

初期アクセス

最初のユーザーアカウントを乗っ取る手段は以下のとおり。

  • Redlineというパスワード窃取型マルウェアでパスワードとセッショントークンを取得する
  • 地下掲示板で認証情報やセッショントークンを購入する
  • 従業員を買収し (サプライヤーや取引先ふくむ) 認証や多要素認証にアクセスする
  • 公開されているコードリポジトリにさらされている認証情報を探す

窃取した認証情報は、インターネットに公開された状態のVPN、RDP、仮想デスクトップ (Citrix、Azure Active Directory、Oktaなど) への不正アクセスに悪用される。

多要素認証の突破方法

  • セッショントークンを流用する (リプレイ)
  • 盗んだパスワードで多要素認証の承認要求プロンプトを何度も表示させ、本人がクリックするように仕向ける
  • 個人アカウントへの不正アクセス。たとえば二要素認証やパスワード再設定に使われているメールアドレスやスマホの電話番号を盗み (SIMスワッピングなど) 、それを悪用してパスワードをリセット、本アカウントに侵入する

従業員の買収に成功した場合の手口

  • 認証情報を提供させる
  • 多要素認証の承認要求プロンプトを承諾させる
  • 社内PCにAnyDeskなど遠隔操作ソフトをインストールさせる

初期アクセス成功後は、自分たちのシステムをVPN経由で被害組織に接続したり、Azure Active Directoryに登録、参加させるなどする。

偵察・特権昇格

  • パッチ未適用の脆弱性を探す (JIRA、Gitlab、Confluenceなど)
  • 社内のコードリポジトリやコラボレーションプラットフォームでさらされている認証情報やシークレットを探す (SharePoint、Teams、Slackなど)
  • AD Explorerなどの公開ツールで全ユーザー、グループを列挙し、特権アカウントを探す
  • DCSync、Mimikatzなどのツールで特権昇格する
  • ドメイン管理者相当の特権が奪取できたら、ntdsutilコマンドでActive Directoryデータベースを抽出する

ソーシャルエンジニアリングの手法

特権昇格にはソーシャルエンジニアリングの手法も用いられる。

たとえば、事前にプロフィール写真などの情報を収集、英語のネイティブスピーカーに電話をさせ、ヘルプデスク担当をだまして特権アカウントのパスワードをリセットさせる。また、よくある秘密の質問、「生まれて最初に住んだ場所」や「母親の旧姓」などの回答を調べておく。

ヘルプデスクを外部委託している企業で、特権アカウントの管理も任せている場合にこの戦術 (tactics) が有効。

抽出、破壊、脅迫

  • 外向けの通信にNordVPNを利用した専用システムを仮想サーバー上に準備する
  • アクセス元から足がつかないように、攻撃対象の組織に近い場所のVPNアクセスポイントを使う
  • 自分たちのシステムを相手組織のVPNに接続したり、Azure Active Directoryに登録しておく
  • 自分たちのシステムに機密データをダウンロード、脅迫のネタにつかう。
  • 相手のクラウド環境に仮想マシンを作成し、組織全体への攻撃をつづける足がかりにする
  • 相手のクラウドテナント (AWS、Azureなど) の特権獲得に成功すると、全体管理者アカウントを作成する
  • Office 365の場合、メール送受信ルール (トランスポートルール) を作成、自分たちのアカウントに転送設定する
  • 他の全体管理者アカウントをすべて削除し、クラウド環境の管理者権限を独占する
  • データ抽出後、相手の全システム、全リソースをオンプレミスも含めて(VMware vSphere/ESXiなど)削除する
  • 組織のインシデント対応プロセスを開始させる
  • インシデント対応が開始されると、組織内のコミュニケーションツール(Slack、Teams、電話会議など)に侵入する
  • 組織のインシデント対応がどのようなフローになっているかを調べる
  • 組織の心理状態や、侵入方法についての理解度を知り、脅迫の内容や方法を決める
  • 情報公開をネタに脅迫する場合もあれば、脅迫せずにそのまま公開してしまう場合もある

以上、LAPSUS$(DEV-0537)の攻撃手法についてのMicrosoft社ブログの要約でした。

データ輸出セキュリティ評価法のパブコメ開始

中国サイバースペース管理局が「データ輸出セキュリティ評価規則(数据出境安全评估办法)」のパブリックコメントを2021/10/28開始した。「サイバーセキュリティ法(网络安全法)」「データセキュリティ法(数据安全法)」「個人情報保護法」にもとづく新しい規則とのこと。

www.cac.gov.cn

個人情報、データの輸出セキュリティ評価については、同局がすでに以下の規則(办法)のパブコメ稿を出しており、事実上施行されているのでややこしい。

2017/04/11「個人情報と重要データ輸出セキュリティ評価規則(个人信息和重要数据出境安全评估办法)」(根拠法「国家安全法」「サイバーセキュリティ法」)

国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

2019/06/13 「個人情報輸出セキュリティ評価規則(个人信息出境安全评估办法)」(根拠法「サイバーセキュリティ法」)

国家互联网信息办公室关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

まず今回の「データ輸出セキュリティ評価規則」を要約してみる。

例によって筆者は法律の専門家ではないので、この要約をゆめゆめ実務に利用されぬよう。

「データ輸出セキュリティ評価規則」要約

適用対象
  • データ処理者が国内で運営中に収集、生成した重要データと、法に基づいてセキュリティ評価をする必要のある個人情報を、国外に提供する場合
評価が必要になる場合
  • 重要情報インフラ施設運営者が収集、生成した個人情報と重要データ
  • 輸出データに含まれる重要データ
  • 個人情報処理件数が100万人分以上である個人情報処理者が輸出する場合
  • 国外に提供する個人情報の累計が10万人分以上、または個人のセンシティブ情報の累計が1万人分以上の場合
  • 国家通信情報部門が規定するその他の場合
輸出前の自己評価項目
  • データ輸出と受領者のデータ処理の目的、範囲、方式などの合法性、正当性、必要性
  • 輸出するデータの数量、範囲、種類、機微の程度、データ輸出が国家安全、公共の利益、個人または組織の合法的権益にもたらすリスク
  • データ処理者がデータ移転する際の管理、技術措置、能力などによってデータ漏えい、毀損などのリスクを防止できるか
  • 国外の受領者が責任義務を承諾し、責任義務を履行する管理・技術措置、能力などによって輸出データのセキュリティを保障できるか
  • データ輸出と再移転後の漏えい、毀損、改ざん、濫用などのリスク、個人が個人情報の権益を維持するための連絡経路が円滑か
  • 国外の受領者と締結したデータ輸出に関する契約がデータセキュリティ保護の責任義務を十分規定しているか
自己評価の当局への申請時に提出が必要な資料
  • 申請書
  • データ輸出リスク自己評価報告
  • データ処理者と国外受領者が締結した契約またはその他法的効力を有する文書など
  • セキュリティ評価作業に必要なその他資料
当局が申請を受けて改めて評価する項目
  • データ輸出の目的、範囲、方法などの合法性、正当性、必要性
  • 国外受領者が存在する国家・地区のデータセキュリティ保護政策法規とサイバーセキュリティ環境が、輸出データのセキュリティに影響するか。国外受領者のデータ保護レベルが中国の法律、行政法規の規定と国家標準の強制力のある要求に達しているか
  • 輸出するデータの数量、範囲、種類、機微の程度、輸出中と輸出後の漏えい、改ざん、紛失、破壊、移転または不法な取得、不法な利用などのリスク
  • データセキュリティと個人情報の権益が十分有効な保障を得られるか
  • データ処理者と国外受領者の締結した契約がデータセキュリティ保護責任義務を十分に規定しているか
  • 中国の法律、行政法規、部門規章の遵守
  • 国家通信情報部門が評価が必要と認めるその他事項
データ処理者と受領者の契約が最低限含むべき内容
  • データ輸出の目的、方法とデータの範囲、国外受領者のデータ処理の用途、方法など
  • データの国外保存場所、期限、保存期間の到達、契約目的の完成、契約終了後の、輸出データ処理措置
  • 国外受領者が輸出データをその他組織、個人へ再移転することを制限する条項
  • 受領者の実際の管理権または経営範囲に実質的変化があり、または所在する国家、地区の法環境に変化があり、データセキュリティの保障が困難になった場合に、とるべき安全措置
  • データセキュリティ保護義務に違反した場合の違約責任と拘束力をもち執行可能な争議解決条項
  • データ漏えいなどリスク発生時の、妥当な応急処置の実施、個人が個人情報の権益を維持するための円滑な連絡経路
処罰
  • 「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」などの法律に基づく
その他
  • 当局は申請書受理後7稼働日以内に、受理するかどうかを書面で通知
  • 当局は申請書受理通知後、45稼働日以内、最長でも60稼働日以内にセキュリティ評価を完了
  • データ輸出評価結果は状況に変化がない限り2年間有効
  • いかなる組織、個人も本法に基づかないデータ輸出活動を発見した場合は当局に通報できる

以上が「データ輸出セキュリティ評価規則」の要約。

ついでに2017年「個人情報と重要データ輸出セキュリティ評価規則」、2019年「個人情報輸出セキュリティ評価規則」も要約してみる。

2017年規則は数量基準が今回2021年規則と明らかに異なるが、どこかで廃止されたのかどうかまで調べ切れていない。

2017年「個人情報と重要データ輸出セキュリティ評価法」

適用対象
  • ネットワーク運営者(インフラ事業者だけでなく一般企業も含む)
評価者
  • 定期評価:業界の主管組織または監督部門。輸出前評価:自己評価。
評価項目
  • 輸出の必要性
  • 個人情報:数量、範囲、類型、機微の程度、本人からの輸出同意有無
  • 重要データ:数量、範囲、類型、機微の程度
  • データ受領者の安全保護措置、能力、レベル、受領者の国家・地区のサイバーセキュリティ環境
  • データ輸出および再移転後の漏えい、毀損、改ざん、濫用などのリスク
  • データ輸出および輸出データの集約が国家安全、社会公共の利益、個人の合法的利益にもたらすリスク
  • その他評価の必要な重要事項
評価が必要な情報
  • 合計または累計50万人以上の個人情報
  • 1000GBを超えるデータ量
  • 核施設、化学生物、国防軍事工場、人口、健康などの領域のデータ、大型プロジェクト活動、海洋環境および機密地理情報データなど
  • 重要情報インフラ施設の脆弱性、セキュリティ保護などを含むサイバーセキュリティ情報
  • 重要情報インフラ施設運営者が国外に提供する個人情報と重要データ
  • その他国家安全、社会公共の利益に影響する可能性があり、業界の主管組織または監督部門が評価すべきと認めたもの
輸出禁止の場合
  • 個人情報を本人の同意を得ずに輸出する場合、個人の利益を侵害する可能性のある場合
  • データ輸出が国家の政治、経済、科学技術、国防などのセキュリティリスクとなる場合、国家安全に影響し、社会公共の利益を毀損する可能性がある場合
  • その他国家通信情報部門、公安部門、安全部門など関連部門が輸出してはならないと認めた場合
処罰
  • 関連する法律に基づいて処罰

2019年「個人情報輸出セキュリティ評価法」

適用対象
  • ネットワーク運営者(インフラ事業者だけでなく一般企業も含む)
評価者
  • 自己評価した上で所在地の省クラスの通信情報部門に報告。 (異なる提供先ごとに評価と報告が必要)
評価項目
  • 国家の関連する法規と政策規定に適合するか
  • 提供先との契約が個人情報主体の合法的権益を十分保障できるか
  • 契約が有効に執行されるか
  • ネットワーク運営者または受領者が個人情報主体の合法的権益を毀損した履歴がないか、重大なサイバーセキュリティ事故を起こしていないか
  • ネットワーク運営者が個人情報を合法、正当に取得したか
  • その他評価すべき内容
輸出禁止の場合
  • 個人情報を本人の同意を得ずに輸出する場合、個人の利益を侵害する可能性のある場合
  • データ輸出が国家の政治、経済、科学技術、国防などのセキュリティリスクとなる場合、国家安全に影響し、社会公共の利益を毀損する可能性がある場合
  • その他国家通信情報部門、公安部門、安全部門など関連部門が輸出してはならないと認めた場合
処罰
  • 関連する法律に基づいて処罰

中国「ネットワーク製品セキュリティ脆弱性管理規定」試訳

中国ではセキュリティリサーチャーが脆弱性を政府に報告する義務がある、という誤解が一部にあるようなので、該当の法律「ネットワーク製品セキュリティ脆弱性管理規定」(2021/9/1施行)の全文を試訳する。

ひとことで言うと、政府に対する報告義務があるのはプロダクトの提供業者であって、しかもそれは政府が設置した脆弱性共有プラットフォームに対してである。

個人や組織が脆弱性を発見した場合は、提供業者に対する報告が奨励されているだけで、脆弱性を見つけたら政府に報告しろ、とはどこにも書かれていない。

「いや、中国は法治国家ではない」という意味不明の勘違いをしている人はまず中国の法執行の実態を勉強しよう。

なお「ネットワーク製品」はネットワークに接続されているソフトウェア、ハードウェア製品すべてのことなので、ネットワーク機器だけでなくIT製品全般を指す。

中国法 「依法治国」の公法と私法 (集英社新書) | 小口 彦太 |本 | 通販 | Amazon

例によって筆者は法律の専門家ではないので、この試訳をゆめゆめ実務に利用されぬよう。

ネットワーク製品セキュリティ脆弱性管理規定

第一条 ネットワーク製品のセキュリティ脆弱性の発見、報告、修正、公開などの行為を規則化し、サイバーセキュリティリスクを防止するため、「中国サイバーセキュリティ法」に基づき、本規定を制定する。

第二条 中国国内のネットワーク製品(ハードウェア、ソフトウェア含む)の提供者とネットワーク運営者、およびネットワーク製品のセキュリティ脆弱性の発見、収集、公開等の活動に従事する組織または個人は、本規定を遵守しなければならない。

(訳注:中国サイバーセキュリティ法の定義では「ネットワーク運営者」には通信事業者だけでなく、ネットワーク製品を利用する一般企業も含まれる)

第三条 中国サイバースペース管理局(CAC)はネットワーク製品のセキュリティ脆弱性管理業務の総合的な調整に責任を負う。工業情報化部はネットワーク製品のセキュリティ脆弱性の総合的な管理に責任を負い、電信・インターネット業界のネットワーク製品のセキュリティ脆弱性の監督管理を担当する。公安部はネットワーク製品のセキュリティ脆弱性の監督管理に責任を負い、法に基づいてネットワーク製品のセキュリティ脆弱性を利用して実施される違法な犯罪活動を取り締まる。

関連する主管部門は部門を跨いで協力を強化し、ネットワーク製品のセキュリティ脆弱性のリアルタイムの共有を実現し、重大なネットワーク製品のセキュリティ脆弱性リスクに対して共同で評価と処置を行う。

第四条 いかなる組織または個人もネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティ活動に危害を加える活動に従事してはならず、不法にネットワーク製品のセキュリティ脆弱性情報を収集、販売、公開してはならない。他者がネットワーク製品のセキュリティ脆弱性を利用し、ネットワークセキュリティ活動に従事していることが明らかな場合、そのための技術支援、広告宣伝、決済などの支援をしてはならない。

第五条 ネットワーク製品提供者、ネットワーク運営者とネットワーク製品のセキュリティ脆弱性収集プラットフォームは、ネットワーク製品のセキュリティ脆弱性情報の健全な受理チャンネルを構築するとともにとどこおりなく運営を維持し、ネットワーク製品のセキュリティ脆弱性情報の受理履歴を少なくとも6か月間保存しなければならない。

第六条 関連する組織と個人はネットワーク製品提供者に対して、その製品に存在するセキュリティ脆弱性を通報することが奨励される。

第七条 ネットワーク製品提供者は以下のネットワーク製品のセキュリティ脆弱性管理義務を実施し、その製品のセキュリティ脆弱性がすみやかに修正され合理的に発表されることを確保するとともに、製品のユーザーに防護措置をとるよう指導指示しなければならない。

(一)提供されたネットワーク製品のセキュリティ脆弱性を発見または知り得た後、ただちに措置をとるとともに組織的にセキュリティ脆弱性に対する検証を実施し、セキュリティ脆弱性の危害の程度と影響範囲を評価しなければならない。その上流製品やモジュールにセキュリティ脆弱性が存在する場合、ただちに関連する製品提供者に通知しなければならない。

(二)2日以内に工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームに関連する脆弱性情報を報告しなければならない。報告内容には、ネットワーク製品のセキュリティ脆弱性が存在する製品名称、型番、バージョンと脆弱性の技術的特徴、危害と影響範囲などを含めなければならない。

(三)ネットワーク製品のセキュリティ脆弱性に対する修正をすみやかに組織的に行わなければならず、製品を必要とするユーザー(下流ベンダーを含む)に対してソフトウェア、ハードウェアのバージョンアップなどの措置を行う場合は、すみやかにネットワーク製品のセキュリティ脆弱性リスクと修正方法を、影響を受ける可能性のある製品ユーザーに告知し、必要な技術サポートを提供しなければならない。

工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームは並行して、国家ネットワーク情報セキュリティ通報センター、国家コンピュータネットワーク緊急対応技術処理コーディネーションセンター(訳注:二つまとめてCNCERT/CCのこと)に関連する脆弱性情報を報告する。

ネットワーク製品提供者はネットワーク製品のセキュリティ脆弱性報告奨励制度を構築し、ネットワーク製品のセキュリティ脆弱性を発見ならびに報告した組織または個人に報奨を与えることが奨励される。

第八条 ネットワーク運営者はそのネットワーク、情報システムとその設備にセキュリティ脆弱性が存在することを発見した後、ただちに措置を講じ、すみやかにセキュリティ脆弱性に対する検証と修正を完了させなければならない。

第九条 ネットワーク製品のセキュリティ脆弱性の発見、収集に従事する組織または個人は、ネットワーク上のプラットフォーム、メディア、会議、競技大会などの方法で、社会に対してネットワーク製品のセキュリティ脆弱性情報を公開する場合、必要、真実、客観性およびネットワークセキュリティリスク防止の原則を遵守するとともに、以下の規定を守らなければならない。

(一)ネットワーク製品提供者がネットワーク製品のセキュリティ脆弱性修正措置を提供する前に、脆弱性情報を公表してはならない。提供前に脆弱性を公表する必要があると認識した場合は、関連するネットワーク製品提供者と共同で評価と協議を行うとともに、工業情報化部、公安部に報告し、工業情報化部、公安部が組織的に評価を行った後に公表しなければならない。

(二)ネットワーク運営者は利用するネットワーク、情報システムとその設備に存在するセキュリティ脆弱性の詳細な状況を公表してはならない。

(三)ネットワーク製品のセキュリティ脆弱性の危害とリスクを故意に誇張してはならず、ネットワーク製品のセキュリティ脆弱性情報を利用して悪意のデマの拡散、詐欺、脅迫など違法な犯罪活動を行ってはならない。

(四)ネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティに危害をおよぼす活動専用のプログラムとツールを公表してはならない。

(五)ネットワーク製品のセキュリティ脆弱性を公表する際は、同時に修正または防護措置を発表しなければならない。

(六)国家が重要な活動を行っている期間は、公安部の同意を経ずして、ネットワーク製品のセキュリティ脆弱性情報を勝手に公表してはならない。

(七)未公開のネットワーク製品のセキュリティ脆弱性情報をネットワーク製品提供者以外の国外の組織または個人に提供してはならない。

(八)法律法規その他関連する規定

第十条 いかなる組織または個人もネットワーク製品のセキュリティ脆弱性情報収集プラットフォームを構築する場合は、工業情報化部に申請しなければならない。工業情報化部はすみやかに公安部、サイバースペース管理局に関連する脆弱性情報収集プラットフォームを報告するとともに、申請を通過した脆弱性情報収集プラットフォームを公開する。

ネットワーク製品のセキュリティ脆弱性を発見した組織または個人は、工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォーム、国家ネットワーク情報セキュリティ通報センター、国家コンピュータネットワーク緊急対応技術処理コーディネーションセンター、中国情報セキュリティ評価センター脆弱性データベース(訳注:CNVデータベースのこと)にネットワークセキュリティ脅威と脆弱性情報を報告することが奨励される。

第十一条 ネットワーク製品のセキュリティ脆弱性発見、収集に従事する組織は内部管理を強化し、ネットワーク製品のセキュリティ脆弱性情報の漏えいと規則に反した公表を防止する措置をとらなければならない。

第十二条 ネットワーク製品提供者が本規定に基づくネットワーク製品のセキュリティ脆弱性の修正または報告措置をとらない場合、工業情報化部、公安部が各自の職責と法に基づいて処分を行う。「中国サイバーセキュリティ法」第六十条の規定する状況を構成する場合、同規定に基づき処罰する。

十三条 ネットワーク運営者が本規定に基づくネットワーク製品のセキュリティ脆弱性の修正または防止措置をとらない場合、関連する主管部門が法に基づいて処分する。「中国サイバーセキュリティ法」第五十九条の規定する状況を構成する場合、同規定に基づき処罰する。

第十四条 本規定に違反してネットワーク製品のセキュリティ脆弱性情報を収集、公表した場合、工業情報化部、公安部は各自の職責と法に基づいて処分を行う。「中国サイバーセキュリティ法」第六十二条の規定する状況を構成する場合、同規定に基づき処罰する。

第十五条 ネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティに危害を加える活動に従事した場合、または他者がネットワーク製品のセキュリティ脆弱性を利用してネットワークセキュリティに危害を加える活動に従事するために技術支援を提供した場合、公安機関が法に基づいて処分する。「中国サイバーセキュリティ法」第六十三条の規定する状況を構成する場合、同規定に基づき処罰する。犯罪を構成する場合、法に基づいて刑事責任を追及する。

第十六条 本規定は2021年9月1日より施行する。

以上、試訳でした。

中国のこととなると国家安全保障上の枠組みでしか考えられなくなるのは、中国の脅威を適切に把握する妨げにしかならない。