中国工業情報化部、セキュリティの不備でアリババクラウドとの提携を一時停止

重要な脆弱性について知らされていなかったと発表

中国工業情報化部は、アリババのクラウド部門との情報共有パートナーシップを停止しました。

政府規制当局は、アリババがサイバーセキュリティの脆弱性を速やかに報告し、対処しなかったと主張しています。

アリババクラウドは、オープンソースのロギングフレームワークApache Log4j2の脆弱性をすぐに報告しなかったとされています。同社はリモートコード実行の脆弱性を発見し、米国のApache Software Foundationに通知していましたが、MIITは第三者からの報告で知ることになりました。

「この脆弱性により機器が遠隔操作され、機密情報の窃取や機器のサービス停止などの重大な被害が発生する可能性がある。高リスクの脆弱性である」と電気通信規制当局は声明で述べています。

アリババとはサイバーセキュリティの脅威や情報共有プラットフォームをめぐる協力について、提携を停止しており、アリババが社内改革を行った場合、6カ月後に停止を見直すとしています。

この記事は海外Data Centre Dynamics発の記事をData Center Cafeが日本向けに抄訳したものです。