Appleがセキュリティアップデートを配布するまでのわずか2カ月の間にウイグル族の盗聴に利用されていたのだ。中国政府がゼロデイの脆弱性を戦術として使用していることが分かる事例である。

脆弱性情報を国家管理に

　中国国家標準化管理委員会（SAC）の「情報セキュリティ技術サイバーセキュリティ脆弱性管理仕様書」には、「脆弱性」は戦略的資源であると明記されている。 　脆弱性情報を管理し、脆弱性に対して適切な対処を行うことは、サイバー空間の安全性を高めることに寄与する一方で、サイバー攻撃にも利用することができることから、戦略的資源というわけだ。 　中国は、19年9月にサイバーセキュリティ脅威情報の収集・保管・分析・通知・公開を一元的に行う「サイバーセキュリティ脅威情報共有プラットフォーム」を構築している。脅威情報とはまさに脆弱性情報のことだ。 　プラットフォームの構築と同時に「ネットワーク製品のセキュリティ脆弱性管理に関する規定」が施行されている。この規定では、中国国内に拠点を有している、あるいは国内で使用されている製品ベンダーおよび個人は脆弱性の管理義務があり、脆弱性を発見した場合には2日以内に政府に報告しなければならないとしている。 　一方で、脆弱性を報告したものには報奨金を与え、脆弱性が修正される前に脆弱性情報を公開することを禁じている。規則に違反した場合、組織に対しては10万元（206万円）以下の罰金、個人に対しては5万元（103万円）以下の罰金、関連事業免許の取り消しなど厳しい罰則が定められている。違法行為とみなされた場合は刑事責任を追及される。 　報告された脆弱性は「脆弱性データベース（CNNVD: Chinese National Vulnerability Database of Information Security）」で管理される。脆弱性データベースは、登録されてからおよそ13日で公開されているが、サイバー攻撃に使えそうな脆弱性情報に関しては、相当程度遅らせて公開するという恣意的な運用が行われている。