-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
CVEの存続にまつわる疑念が、サイバーセキュリティランドスケープに大きな波紋を広げています。Flashpointのウェビナー「コミュニティコール」を視聴し、最新の動向やレジリエンスを維持する方法、そしてこれから進むべき方向性について学んでください。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2025年4月17日付)を翻訳したものです。
共通脆弱性識別子(CVE)プログラムの資金調達に暗雲が立ち込めている最近の状況は、脆弱性インテリジェンスのエコシステムに深刻な混乱を引き起こしています。2025年4月15日、CVEプログラムを運営するMITREからリークされた書簡には、契約上の問題で同プログラムが間もなく終了すると記されていました。しかし翌16日には、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)がCVEサービスの中断を防ぐために契約オプションを締結したと発表。複数の情報源によると、契約延長は2026年3月までの11か月間となっています。
Flashpointではこの状況を積極的に監視しています。本ブログ執筆時点までの流れは以下の通りです。
- 2025年4月15日
- CVE理事会に宛てたMITREの書簡がオンラインにリークされ、CVEの資金を調達できない可能性が示唆される
- 2025年4月16日
- CVEを確実に存続させるとCISAが発表
- CVE理事会のメンバーがCVE財団を設立
- 米国主導による脆弱性データベースの存続が不透明になったことを受け、欧州連合脆弱性データベース(EUVD)が立ち上がる
目次
[開く][閉じる]なぜCVEが大切なのか
CISAの発表をもって、CVE廃止は時限的に阻止されましたが、依然として多くの疑問が残っています。今回の騒動をきっかけに、さまざまな組織やセキュリティベンダー、報道機関には「CVEがなくなったら何が起こるのか?」という共通の問題が突きつけられました。
今日の脆弱性インテリジェンスエコシステムにおいては、ほぼすべての組織の脆弱性管理フレームワークがCVEシステムに依存しています。CVEは1999年に導入されて以来、世界共通の重要サイバーセキュリティユーティリティに成長し、ほぼすべての脆弱性スキャナーやSIEMプラットフォーム、パッチ管理ツール、脅威インテリジェンスフィード、コンプライアンスレポートに利用されてきました。
ところが、このCVEとその相棒である脆弱性情報データベースのNational Vulnerability Database(NVD)は、すでに衰退の兆候を見せていました。現に2024年から2025年にかけて、不完全な脆弱性データの増加やコンプライアンス報告の混乱、協調的な情報開示とベンダーパッチリリースの遅延が発生し、そのすべてが下流のシステムとプロセスに悪影響を及ぼしています。しかし仮にCVEが完全停止することになれば、サービスの質が下がるだけの話では済まなくなるでしょう。これは組織的インフラの損失であり、サイバーセキュリティに対する数十億ドルもの投資を無駄にする行為にほかなりません。
脆弱性インテリジェンスエコシステムの新局面?
現時点で、CVEプログラムの長期的な健全性は不透明となっています。CVEの予算を削減する現方針が引き金となり、米政府の支援を受けた脆弱性カタログ作成の取り組みが統合に向かう、あるいは無料で利用できる米政府の脆弱性追跡システムが終焉を迎えるかもしれません。
CVEシステムの崩壊は、新しく改善された脆弱性管理モデルを構築する機会をもたらします。その新しいモデルでは、CVEシステムの課題とされているスピード、コンテキスト、透明性、実用的な知見の提供を重視する必要があるでしょう。
Flashpointを活用して次世代のセキュリティにアップデート
脆弱性の管理戦略において、CVE IDは依然として有用なデータポイントになり得ますが、唯一の基盤とすべきではありません。次世代のセキュリティはこれまでと違い、レジリエンスがあり、多角的かつインテリジェンス主導のプラクティスを基に構築される必要があります。つまり、状況の変化に適応し、複数の情報源を利用しながら、実際の行動に活用できる知見を提供することにフォーカスする必要があるのです。その代表例を以下に記します。
- 脅威アクターの行動とPoC(概念実証)の可用性
- 攻撃で悪用される可能性
- 重要資産の露出などビジネス上のコンテキスト
- ランサムウェアやデータ侵害キャンペーンとの関連性
Flashpointの脆弱性データベースはCVEと完全に関連付けられており、ITやOT、IoT、CoT、さらにオープンソースのライブラリと依存関係も網羅しています。また、一般公開された情報源で見落とされている10万件以上の脆弱性もカタログ化しています。
コミュニティコールを視聴し、さらに詳しく学んでください
現況をより深く理解していただくために、Flashpointは2025年4月17日にコミュニティコールを開催しました。このウェビナーの録画を視聴し、CVEはもちろん、EUVDなど新しい脆弱性データベースに関する最新の動向や、この刻々と変化するランドスケープにおいてレジリエンスを維持し、前進するための道筋を確認してください。
