脅威インテリジェンス

Cyber Intelligence

Flashpoint

Intelligence

CVEとNVDだけに頼った脆弱性管理に潜む問題

Tamura

2022.04.18

脆弱性インテリジェンスの全体像が、CVE/NVDに登録されないデータにも左右される理由

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2022年4月11日付）を翻訳したものです。

もしリスクモデルから既知の脆弱性の3分の1が抜け落ちていたら、そのモデルは効力を持つのか？

共通脆弱性識別子（CVE）データベースは、公表されている脆弱性の非公式な「公式」情報源となっています。ほぼすべての組織の脆弱性管理フレームワークが何らかの形でCVEを利用していますし、脆弱性が報告された時に真っ先に言及されるのはCVE識別番号（CVE-ID）であることが多いです。脆弱性スキャンツールからアンチウイルスソフトに至るまで、ほとんどすべてのセキュリティツールが、CVEおよびNVD（National Vulnerability Database）に基づいて検出を行っています。

CVEがこれほど現行の脆弱性管理プロセスに深く根付いているということは、CVE/NVDは脆弱性インテリジェンスの最善の入手源だということなのでしょうか？その答えは、「いいえ」です。業界はCVEとNVDに頼りきっていますが、両者から得られるデータが常に信頼できるものであるとは限らない上、タイムリーでないことは確実です。

注目すべき3つの事実

１,　CVEでは、1999年の開始以来、脆弱性約93,000件の報告漏れがあり、その多くが主要なベンダーや製品に影響を及ぼしています。

２,　CVEの脆弱性集積プロセスには全体的に問題があり、そのせいで、脆弱性の登録が行われなかったり、不正確だったり、重複したり、取るに足らない脆弱性が登録されたりする事態が起きています。

３,　CVEは、直接CVEに報告された脆弱性のみを集積しています。つまり、新たな問題を自ら進んで見つけようとしているわけではありません。

66%の脆弱性しか把握できていない状態で運用されるパブリックソース

氷山の一角を見つけた人々

脆弱性管理フレームワークを持つ目的は、自身に影響を及ぼす可能性のある問題を組織が確実に把握できるようにすることと、リスクを管理するためのプランを用意し、利用可能な状態にしておくことです。しかし、もし組織のリスクモデルからすべての既知の脆弱性のうち約3分の1が漏れていたら、それらのモデルにどの程度の効果があるでしょうか？

多くの人々が目を背けていますが、CVEが年間に公表される脆弱性の33%近くを取りこぼすことは珍しくありません。そしてこの結果、現在までに未登録の脆弱性約93,000件分のギャップが生まれています。

2018〜2021年の脆弱性の年間公表数

VulnDBとCVEが公表した脆弱性の合計数の比較

このギャップの中の、登録から漏れた脆弱性の多くが、主要なベンダーや、世界各地のあらゆる大規模組織で使用されている製品に影響を及ぼしています。また、深刻度が「重要（high）」〜「緊急（critical）」に分類されるものも多数あるほか、公開エクスプロイトが存在する脆弱性や、リモートで悪用可能な脆弱性も存在します。さらに、ソフトウェアサプライチェーンに危険をもたらしかねないサードパーティーライブラリへのCVEの対応漏れは深刻です。

CVEは自ら進んで脆弱性を探しているわけではない

CVEはなぜそれほど多くの脆弱性を見落としているのでしょうか？変わり続けるトレンドに合わせて軌道修正する能力が欠如していることが一因であることに加えて、その答えは結局、CVEの脆弱性集積アプローチに潜んでいます。

CVEは自ら進んで脆弱性を見つけるということをしていません。直接報告を受けたものを収集しているだけなのです。これこそが、脆弱性約93,000件分のギャップが生まれている第一の理由です。ただ、このような事態が起きる背景を正確に理解するためには、CVEの創設以来、脆弱性をめぐる情勢がどのように変化してきたかを考慮することが重要です。

2000年以降、脆弱性の公表数は1,711%増加

1999年にCVEが創設された当時、公表される脆弱性の数やペースは現在とは完全に異なっていました。2000年には、報告された脆弱性の数は1,584件のみで、大半がほんの数十の情報源から得られたものでした。それ以後、合計数は年々着実に増加しました。例外は2006年で、この年には大幅な増加が見られました。2012年以降、報告される脆弱性の数は一貫して10,000件を超えるようになりました。しかし、それにもかかわらず、MITREが5桁のCVE識別子に対応するシンタックスを追加したのは2015年になってからのことでした。

2000〜2015年に公表された既知の脆弱性の数

現在では、6か月という期間に10,000件超の脆弱性が報告されるのが一般的です。Risk Based Securityによれば、同社が2021年1月1日〜2021年6月30日の間に集計した脆弱性の数は12,723件でした。そして昨年末までに、この数は2倍超の28,695件に達しました。

脆弱性は今や、いたるところで見つかる

公表される脆弱性の数が劇的に増加している一方で、報告元である情報源もまた、その数を伸ばしています。近頃は、脆弱性がインターネットのいたるところで見つかっており、脆弱性の大半がベンダーのアドバイザリや2、3の脆弱性メーリスを使って追跡できていた数十年前とは状況が大きく異なっています。

新たなソフトウェアやベンダー、脆弱性研究者、そして趣味で脆弱性を探す人々の数は急激に増えており、その結果、脆弱性やその詳細があらゆる媒体で報告されるという、非常に不安定な環境が生まれています。新たな脆弱性が、従来の情報源に加えて、さまざまなブログ記事、ツイート、GitHubリポジトリなどで公表されるのが一般的です。したがって、1羽の「脆弱性を運ぶコウノトリ」のみに頼って、把握しておくべきすべての脆弱性を手渡してもらおうとするのは非現実的です。

子供を運ぶ親鳥

なぜCVEの脆弱性ギャップが問題となるのか、組織はどんな影響を受けるのか？

ある意味で、CVE/NVDはこの時代のコウノトリ役となっており、企業は脆弱性に対応するCVE-IDを「作り出す」ことをCVEに任せ、NVDには、優先順位を決定するCVSSスコアの提供を任せています。

かつては（そして今もなお）、脆弱性を分類することへの現実的なニーズが存在していて、CVEがセキュリティ業界を形作るシステムを提供しました。しかし、現代のセキュリティ関連の問題の大半は、セキュリティベンダーが、一般組織がしているのと同じくらいCVEとNVDに頼り始めた時に具現化したのです。

20年以上にわたって、セキュリティベンダーはCVE/NVDのデータを中心に自らのソリューションを構築してきました。そこが重要なポイントであり、以下の2つの問題を生み出しています。

１　CVEは数十年にわたり多用されてきたため、CVE IDを脆弱性の「真正性の証」だと考える人が出てきた。

２　CVEは完璧だと誤解して93,000件近い脆弱性に気づかないことにより、CVE/NVDを受け売りにするセキュリティベンダーに頼る諸組織にまで、CVEのギャップやその他の誤りが受け継がれている。

脆弱性はCVE IDでは決まらない

CVE IDは脆弱性の真正性を証明するものではないということに、各組織は気づく必要があります。そもそも脆弱性とは、コンピューターのソフトウェアやハードウェアの欠陥のうち、攻撃者による越権を許して機密性、完全性、可用性に影響を及ぼすものを指します。

CVE IDの付与は、脆弱性の影響と一切関係ありません。CVE IDによって表されるのは、その問題がMITREに報告されたということだけです。根拠の確かな問題にしかIDが付与されないように思えるかもしれませんが、そうとも限らないのです。

昨年、 307件のCVE IDがNot a Vulnerability （NAV）と見なされましたが、その多くがいまだにCVE（のリスト）の中で確認できます。残念ながら、このことを反映させるアップデートが未済のものも中には存在するため、新たな情報を知らないセキュリティチームは、上記の脆弱性が今もリスクの要因になっていると思い込むでしょう。

NAVが生じる理由は、その問題が脆弱性ではないと判断されたのが公開後だったためか、もしくは、検証のためのチェックが行われなかったためです。CVEはNAVの件数を減らすためにプロセスを改善している、と考える方がいるかもしれませんが、データによれば、NAVとなったCVE IDは長い目で見れば着々と増加しています。

CVEが2000〜2021年に公表したNAVの件数

CVEを受け売りするセキュリティベンダーは間違いまで受け売りする

CVD/NVDを信じ切るセキュリティベンダーは、おそらくCVEのNAVまで受け売りにするでしょう。しかし、それより重要なのは、こうしたベンダーが93,000件近い既知の脆弱性に気づかないということです。自分たちの使うCVEベースの脆弱性スキャナーがシステムに影響を与えかねない問題の33%をすぐに検知できないことを知って、安心していられますか？

スキャニング漏れは自然発生的な漏れを含めれば実際にはもっと増えること、それから、大半のスキャニング技術は往々にしてCVEの3分の1しか見ないことを、専門家たちはおそらく知っているでしょう。シグネチャに起因する、タイムリーさをめぐる問題の主なものについては次回以降の記事で説明するとして、重要なのは、本質的な漏れが存在することにユーザーは全く気づかないということです。スキャニングレポートは取り上げるデータが不完全だとは伝えないでしょうから、レポートの受け手は、CVEに内在する問題を知らなければ根拠のない安心感を持つことでしょう。

結局、ユーザーの負担が増える

NAVや脆弱性の見落とし以外にも、CVE/NVDの受け売りによって残される重要な問題があります。それは、現存するCVEとNVDのデータによる問題です。

MITREとNIST（=NVDの管理者）は、データの正確性やメタデータの不在に関する困難を長らく抱えており、それがタイムリーさをめぐる問題の原因となっています。そして、その困難のほとんどは脆弱性の報告のされ方に起因しています。どちらの組織も、新たな情報を積極的に探さないため、エントリーが提出された際に受け取ったものに大きく依存しているのです。

理論上、誰でもCVE ID付与のために脆弱性を提出できるため、各エントリーには大きなばらつきが生じる傾向があります。タイトルが紛らわしかったり曖昧だったりする、エクスプロイトやソリューションといった必要不可欠なメタデータが欠けている、あるいは、乏しいデータに基づいて誤ったCVSSスコアが付けられている可能性があるのです。中には、影響を受けるベンダーや製品の情報すらないまま公開されるCVE IDまで存在します。

結局、現行のCVE/NVDデータはユーザー側の作業を増やし、ユーザーはエントリーを実際に取り扱うことよりも検証・調査することの方に時間を取られます。すべてをカバーする脆弱性インテリジェンスがあれば、すぐに使える情報をCVEと比べて平均21日早く手に入れられるため、問題を調査する必要がなくなり、より迅速な対処を行うことができるようになります。