米脆弱性データベースNVDのバックログは引き続き増大:2月中旬以降、90%以上が分析されず
米NIST運営の脆弱性データベースNVD(National Vulnerabilities Database)へ今年2月12日以降に提出された脆弱性12,720件のうち、90%以上に相当する11,885件が分析もエンリッチメント(CVSSスコアやCWEの提供などによる、CVEデータの充実化)もなされないままになっているという。VulnCheckの研究者らが報告した。
NISTが2月中旬にNVDの規模縮小を発表して以降、資金不足や提出される脆弱性件数の多大さなどが原因でNVDの運営は大幅に滞っており、セキュリティ業界やITベンダーなどからはこれまでにも度々危機感が表明されてきた。VulnCheckによれば、2024年2月12日以降の新たな脆弱性のうち、NVDによる分析を受けていない未処理のものの割合は93.4%に相当。またVulnCheckが「悪用確認済み」に指定している脆弱性のうち50.8%が分析されておらず、さらに、PoCエクスプロイトが公に出回る脆弱性のうち82%についても分析がなされていないままだという。
NVDは20年以上にわたって、深刻度スコアやレファレンスタグ、脆弱性分類といった防御側にとって利用しやすい情報を提供してきた、包括的かつ信頼性も確立された脆弱性データベース。ここにCVSSスコアなどの重要なメタデータが追加されない状態では、多くの組織の脆弱性マネジメントが影響を受ける恐れがある。
こうした状況を受け、サイバーセキュリティ企業各社には、NVDが空けた「穴」を埋めることが求められるようになっている。VulnCheckは特に、CNA(MITREの認定を受けており、独自の判断に基づいてCVE番号を採番できる組織)の手によってできる限りCVE情報を充実化させられるようにする必要があると提唱。脆弱性を含有する製品名、ベンダー名、バージョン番号、詳細説明、レファレンス情報、CPE、CVSS、SWEといった包括的な情報を、CNA側で提供するようにすべきだとの見解を表明している。
また、NVD自身も今年4月、「NVDプログラムにおける課題へ対処し、より良いツールやメソッドを開発するためのコンソーシアム」の立ち上げに向けて動いていると発表。さらにその2週間後には、米CISAがNVDをめぐる懸念やセキュリティコミュニティの憤りを認識している旨を伝え、「Vulnrichment」と題した脆弱性情報エンリッチメントの取り組みを始めると宣言している。CISAはその時点で1,300件のCVEをエンリッチメントしており、「すべてのCNAに対し、CVE.orgへの初回提出の時点で、完全な状態のCVE情報を提供するよう求める」と述べていた。