中国CNNVD、脆弱性情報データベースを書き換えていることが判明

「中国、公的脆弱性データを改変。国家安全部による影響の隠蔽のため」

www.recordedfuture.com

以前からCNNVD(中国の脆弱性情報データベース)については、脆弱性によって公開タイミングが違うことが指摘されていました。

internet.watch.impress.co.jp

この調査元であるRecorded Futureによる続報が出ました。要するに「CNNVDは脆弱性情報の公開日付を改変している」というものです。

前回、MSS(国家安全部)が脆弱性情報の公開について管轄し、有用な項目はあえて公開を遅らせて利用しているのでは、と指摘していましたが、今回の公開日付改変は、それを裏付けるものとしています。

米国のNVDは、こういったことは(直接には)ないものの、システム的に公開があまり早くないことは前回の報告で言われていたところです。実務では、こういった国家レベルのデータベースは後追いであり、他の情報源を日常的に使う必要がある、ということでしょう。