NISTの苦境続く：NVDバックログ問題は今なお解消せず

3月25日：サイバーセキュリティ関連ニュース

NISTの苦境続く：NVDバックログ問題は今なお解消せず

SecurityWeek – March 24, 2025

米NISTは今なお、脆弱性データベースNVDにおけるCVEのバックログ問題の解消に手間取っており、状況は今後も悪化していく一方であることが見込まれるという。

NISTはかねてより、NVDへ提出されるCVE脆弱性の分析やエンリッチメントが追いつかないというバックログの問題を抱えており、2024年春および初夏には脆弱性処理のスピードがスローダウン。現在はスローダウン前と同様の速度でCVEを処理するようになっているものの、2024年に提出された脆弱性の件数は前年比で32%増加したことから、バックログは増大し続けているという。

また、NISTは3月19日に公開したアップデートにおいて「（脆弱性の）提出速度は2025年も加速し続けるだろうと予想している」とし、一部の処理タスクを自動化できるよう、AIや機械学習の導入を模索していると述べた。

NISTはバックログ問題の原因の一部として、NVDの現在のワークフローおよびデータインジェストシステムが、実態よりも少ない量のCVEサブミッションを見込んだ設計になっていることや、旧式のフォーマットおよび手動でのエンリッチメント手順が重大なボトルネックを生み出していることを挙げている。また、人員拡充の取り組みを行ってはいるものの、トレーニングを受けたアナリストの人数や自動化ツールの数は、CVE提出の急増に追いつけるほどの規模に至っていないとのこと。

トランプ政権のイエメン空爆計画、無認可のSignalチャットで記者へ漏洩

TechCrunch – March 24, 2025

米トランプ政権で国家安全保障を担当する指導者たちが、イエメンへの攻撃計画に関する機密情報をやり取りするSignalのチャットに、誤って部外者を招待してしまったという。

意図せずこのチャットへ参加することとなったのは、米月刊誌『アトランティック』の編集長であるジェフェリー・ゴールドバーグ氏。同氏は3月15日、米国によるイエメンへの空爆が行われる2時間前に、Signalのメッセージ数件を受信したという。当初は悪意あるアクターたちがアトランティック誌に虚偽のストーリーを掲載させようと、ミスリーディングなメッセージを送りつけてきたのだろうと考えたそうだが、後に米NSC（国家安全保障会議）の広報担当者から、これが本物のメッセージであるとの確認gな得られたという。

「国家安全保障の上層部が、差し迫った戦争計画についてSignalでやりとりするとは信じられなかった」、「今までにこのような漏洩は見たことがない」などとゴールドバーグ氏は語っている。なお、米政府高官の間で、Signalやその他の商用テックプラットフォームを用いた機微な情報のやり取りを行うことは許可されていない。

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性