-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
MITREがCVEプログラム停止の恐れについて警告、16日に米政府との契約が切れること受け
MITRE Corporationによると、米政府による資金提供の先行きが不透明であることから、CVEプログラムの中断や「劣化」が生じる可能性が考えられるという。同団体の国土安全保障センターでVPを務めるYosry Barsoum氏が、CVE理事会に宛てた書簡の中で明かした。
2025年4月15日付け(現地時間)のこの書簡はCVE理事会のメンバーに対し、MITREと米政府との間で交わされたCVEの管理に関する契約が4月16日で終了となる旨を伝えるもの。Barsoum氏は、「2025年4月16日(水)に、MITREがCVEおよびCWEなどほかのいくつかの関連プログラムを開発、運用、最新化するための現在の契約経路が期限切れとなります。政府は、このプログラムを支援するMITREの役割を継続させるため、多大な努力を続けています」と説明している。
この書簡に16日以降の出資に関する言及はないものの、Barsoum氏は万が一サービスの中断が生じた場合にCVEへもたらされる影響は複数予想されると発言。これには、脆弱性データベース(NVD)およびアドバイザリの品質劣化や、ベンダーによる反応の鈍化、対応業務の制限、重要インフラへのあらゆる影響などが含まれるとされる。また、MITREの広報担当者によると、契約が失効すればプログラムに新たなCVEが追加されることはなくなり、ネット上のCVEプログラムのWebサイトも最終的に閉鎖されることになるという。その場合、過去のCVE記録はGitHubで公開されることになるとMITREは説明している。
本件に関し、CVEプログラムの主要スポンサーである米CISAは声明の中で、「MITRE CorporationとのCISAの契約は4月16日以降に失効しますが、私たちは影響を緩和するべく、また世界中のステークホルダーが頼りにするCVEサービスを維持するべく、緊急で取り組みを行っているところです」と説明。ただ、なぜ契約がキャンセルされることになったのか、新たなベンダーがMITREの役割を引き継ぐのか、といった質問への回答は拒否しているという。
MITREはサイバーセキュリティの分野で最も権威ある組織の1つであり、もし本当にCVEプログラムというリソースが失われてしまった場合に想定される影響について専門家らは危機感を抱いている。サイバーセキュリティ企業Bugcrowdの創業者であるCasey Ellis氏はCVEが脆弱性管理、インシデント対応、重要インフラ保護において果たす役割の大きさに触れた上で、「サービスの突然の中断は、すぐに国家安全保障上の問題に発展する現実的な可能性をはらんでいる」と指摘した。
[Update]
前述の書簡が流出したほんの翌日には「CVE Foundation」の始動が宣言されている。この件をいち早くXに投稿したペンテスターTib3rius氏によると、これはCVE理事会による正式な動きというわけではなく、「CVE理事会内のならず者グループによる、CVEプログラムの救済を試みるためのアクション」だとされる。
同氏のX投稿にはCVE Foundationの声明文画像が添付されており、これによれば、CVE Foundationの設立目的はCVEプログラムの実行可能性、安定性、独立性を確保すること。ここ1年の間、CVE理事会の原稿メンバー数人でCVEを専用の非営利財団へと移行させるための戦略を練ってきたことも明かされ、新たなCVE Foundationは「高品質な脆弱性識別情報を提供すること」および「世界中の防衛者のためにCVEデータの完全性と可用性を維持すること」の2つの使命を継続して果たしていくことだけに注力する旨が伝えられた。
CVEプログラム自体の、ソフトウェアの脆弱性を特定・追跡しカタログ化するという目的はほぼ変わらずに継続されるが、そのガバナンスモデルはMITREの下での政府委託事業から、コミュニティ主導のグローバルな代表財団へと移行することになる見込みだという。CVE Foundationは内部構造、コミュニティの役割、そしてCVEサービスを中断することなく維持するための計画に関する詳細を、今後数日間の間に発表すると約束している。
[Update ②]
その後、米CISAは、政府がCVEプログラムの継続性に問題が生じないよう、MITREへの資金提供期間を延長した旨を公表。同機関の声明には、以下のように記されている。
「CVEプログラムはサイバーコミュニティにとって非常に価値が高いものであり、CISAの優先事項です。昨夜CISAは、重要なCVEサービスが失効することがないよう、契約のオプション期間を行使しました。パートナーやステークホルダーの忍耐に感謝します」
BleepingComputerが把握した情報によれば、このオプション期間は11か月間であるとのこと。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
関連投稿
韓国のハッカー、WPS Officeのゼロデイを悪用してマルウェアを展開(CVE-2024-7262)
29.08.2024
進行中のソーシャルエンジニアリングキャンペーンに新戦術:CVE-2022-26923の悪用試みるペイロードが使われるように
19.08.2024
英政府、ランサムウェア攻撃の報告義務と身代金支払いのライセンス制度を提案へ
22.05.2024
英国で給与データの大規模侵害、軍関係者の個人情報が漏洩
08.05.2024
脆弱性ハンターにサイバー犯罪者:2つの顔持つアクターEncryptHubの正体が暴かれる(CVE-2025-24061、CVE-2025-24071)
08.04.2025
