ハクソク

世界を動かす技術を、日本語で。

NIST、ほとんどのCVEの強化を断念

23日前原文(risky.biz)

概要

  • NISTがNVDの脆弱性データ追加方針を大幅変更
  • 重要な脆弱性のみ「エンリッチメント」対象に縮小
  • 予算・人員不足が背景、CVSSスコア提供も停止
  • 脆弱性管理企業や業界への影響拡大
  • AI活用による脆弱性報告増加が今後の課題

NIST、NVDの脆弱性データ管理方針を転換

  • 米国National Institute of Standards and Technology(NIST)、National Vulnerability Database(NVD)の運用方針を発表
  • 今後は「エンリッチメント」(詳細データ追加)を 重要な脆弱性のみ 対象に限定
  • エンリッチメント対象は以下の3カテゴリ
    • CISA KEV (積極的に悪用されているバグリスト)掲載のCVE
    • 米連邦機関で利用されるソフトウェア のCVE
    • クリティカルソフトウェア (OS、ウェブブラウザ、セキュリティソフト、ファイアウォール、バックアップ、VPN等)に関するCVE
  • 2024年以降、CVEエントリ数の急増と予算削減により管理が困難化
  • 2024年初頭2,100件の未エンリッチCVEが、年末には約30,000件へ拡大
  • 追いつくことは不可能と判断し、 重要度重視 への方針転換

業界・脆弱性管理への影響

  • 多数の脆弱性管理企業がNVDデータを利用していたが、今後は データカバレッジ低下 が不可避
  • 企業側で独自エンリッチメントや他ソースの活用が必要
  • Aikido SecurityのSooraj Shahによると、「 単一の信頼できるデータベース時代の終焉
    • EUVD(欧州版NVD)は発展途上
    • MITREなど他CVEプログラムも資金難の懸念
  • NISTは今後 独自CVSSスコアの提供を中止、CVE発行元の初期スコアを表示
    • ソフトウェアベンダーによる 過小評価リスク 増加
    • 影響度矮小化の指摘が過去にも多数

AI活用と脆弱性爆発

  • 2025年以降、AIによる脆弱性発見支援ツールの普及で CVE報告数がさらに増加 予想
  • AIは重要バグ発見も期待されるが、 ノイズ(重要度の低いCVE) も大量発生
  • NISTの人的リソースでは対応不可能
  • 新方針は2026年4月15日より施行

主要サイバー攻撃・インシデント動向

  • ロシア系ハクティビストによる スウェーデン発電所攻撃、内蔵セーフガードで阻止
  • ロシアAPT28による ウクライナ検察官メール侵害、ギリシャ・ルーマニア・セルビア軍も標的
  • ロシア仮想通貨取引所Grinex、 1,300万ドル盗難で閉鎖、米制裁対象
  • Zerion、 北朝鮮ハッカーによる10万ドル暗号資産流出 を公表
  • Autovista、 ランサムウェア攻撃 で欧州・豪州システム影響
  • McGraw Hill、 1,350万人分の個人情報流出 (ShinyHunters)
  • Standard Bank(南ア最大手)、 顧客データ侵害 を発表
  • BlueLeaks 2.0、 830万件の犯罪通報情報 が1万ドルで販売中
  • Krybitと0APT、 ランサムグループ同士のハッキング合戦

一般テック・プライバシー動向

  • OpenAI、 サイバーセキュリティ専用GPT-5.4-Cyberモデル を限定テスト開始
  • Anthropic、 Claudeの一部ユーザーにKYC(本人確認)導入
  • BlueSky、 大規模障害 でサーバーステータスページもダウン
  • xAIのGrok、 ヌード画像生成問題 が継続
  • Apple・Googleストア、 nudifyアプリ の排除不十分
  • 23の主要ニュースサイト、Wayback Machineのアーカイブ化をブロック
  • IPv6トラフィックが世界で50%突破
  • IPv8プロトコル がIETFに提案、IPv4互換性重視
  • Chrome、 ブラウザーフィンガープリント対策を未実施
  • Android、 ワンタイムデータピッカー (一時的な連絡先・位置情報共有機能)追加
  • Raspberry Pi、 sudoのパスワードレス利用を無効化
  • Microsoft、 Exchange 2016/2019・Skype for BusinessのESU延長
  • Windows、 RDP設定ファイル実行時の警告ポップアップ を導入

今後の展望・まとめ

  • NISTの方針転換で 脆弱性管理の分散化・多元化 が加速
  • AI時代のセキュリティ対応に向け、 業界全体の協調と新たな基準作り が必要
  • エンドユーザー・企業は 情報源の多様化独自リスク評価体制 の強化が求められる

Hackerたちの意見

「エンリッチメント」って、バグに関する詳細情報をCVEデータベースに追加することを指してるみたいだね。

これで情報セキュリティのドラマがたくさん生まれるよね。CVE番号を発行する組織の中には、「報告された」ソフトウェアの製造元もあって、こういう会社は自分たちのバグの深刻度を低く評価したり、軽視したりする可能性が高いんだよね。確かにそうだけど、逆もまた真なり。外部の機関が何千ものソフトウェアパッケージのバグに対して適切なスコアや説明を出すのはすごく難しいかもしれない。簡単なバグもあって、たとえばUnixシステムで「rootをください」って打ったら即座にroot権限が取れる場合は、高い深刻度の問題だろうけど、たくさんのバグは単純じゃなくて、正しく評価するには深い製品知識やシステムの理解が必要なんだよね。そういう知識は、組織の外ではあまり広まってないことが多いし、たとえば、ほとんどのユーザーに影響を与えないニッチで理論的な問題にパニックスコアを付けるのは、逆効果で時間とリソースの無駄になりかねないよ。

ほんとそれ。規制されたり政府のセキュリティコンテキストでは、「クリティカル」や「ハイ」の深刻度評価が「この問題は文脈的に未悪用とは言えないし、既存の緩和策についての説明を書くこともできないので、行動を起こしてスキャナーがこの問題を検出しないようにしなければならない」と同義で使われてるから、すごく馬鹿げた優先順位付けや無駄が生じるんだよね。

確かにそうだけど、逆もまた真なり。うん、ほぼ毎回NVDが意味もなく異常に膨れ上がった数字を出してきたよね。彼らの評価を見るたびに、印象が悪くなった。

毎月新しいChromeのリリースがあるたびに、CVSS 9.xの脆弱性がいくつか修正されるんだけど、ベンダーに対してCVSS 9.xの脆弱性のパッチが24時間以内にすべてのエンドポイントに適用されていない場合を報告するよう求める会社が気になるんだよね。彼らは報告が山のように来てるのか、それともベンダー側はこのルールをきっちり守ってないのか、どっちなんだろう?

それに、時々CVEは本当に重要なセキュリティ問題じゃないこともあるよね。curlを見てみて。

インセンティブか専門知識かで賭けるなら、毎回インセンティブに賭けるね。

正直、ここ5、6年で彼らが提供しているエンリッチメントはあまり見ないな。

NVDは脆弱性に関する深刻度データのひどいソースだったし、自分たちのCVSSスコアを提供するベンダーや提出者にとって意味のある影響はないよ。結局、CVSSの茶番を縮小した形で続けているだけで、これはチャンスを逃しているよね。

この管理からの予算削減の数々と、昨年のNISTとのほぼ危機的な状況を結びつけずにはいられないな。

エンリッチメントは色々やるけど、主なものはCVSS情報とCPE情報を追加することだよ。CVSS(リスク)は他のソースでうまく扱われてるけど、CPE(どのソフトウェアが影響を受けるか)は結構重要だと思う。CVEがどのソフトに関係してるか分からないのに、政府が使ってるソフトにエンリッチメントをどうやって集中させるつもりなんだろう。

CPEは冗談みたいなもんだね。公式の仕様書には、名前の正確性は仕様の範囲外だって書いてあるよ。セクション5を見てみて。Well-Formed CPE Name Data Model https://csrc.nist.gov/pubs/ir/7695/final

新しいセキュリティレポートの洪水は、昔から使われてる著名なオープンソースソフトを作った私たちにとってはちょっと面倒くさい。最近、あるレポーターから約12件のレポートをもらったんだけど、どうやらAI支援のレポートみたい。要するに、レポートには「プログラムがこの変なパケットを受け取ると、リソースを解放するのにいつもよりちょっと時間がかかる」みたいなことが書いてあった。1件の「死のパケット」とされるレポートは、真剣に受け止めて午後を使ってテストケースを書いたけど、バグは再現できなかったし、テスターもテスト環境が壊れてることに気づいたみたい。古いオープンソースプロジェクトを壊したって主張することでステータスを得ようとする圧力がすごくて、私みたいな人間が退職後に trivial な問題を見に引き戻されることもある。

アンソロピックがオープンソースセキュリティを破壊する新しいハイプについてどう思う?

古いオープンソースプロジェクトを壊したと主張してステータスを得る。 彼らはCVEの発見をクレジットされる。最近はこう呼んでるけどね:履歴書強化ツール。

Mitreは以前は24時間以内にCVEを発行してたのに、今は4ヶ月経ってもフォローアップがないし、GitHubがすでにCVEを発行したって伝える方法もない…前はただのハンコ押しだったと思う。開示は通常、メンテナーと調整すべきなのに、Mitreのような第三者はボトルネックになるだけで、あまり提供できるものも得られるものもないみたい。

正直、民間企業がこれを引き継がないのが意外だね。みんなすでにMitre/NVDの定義の上にエンリッチされた補足データを持ってるし。

「セキュリティリサーチャー文化」は修復不可能なほど壊れてる。昔はこんなんじゃなかったけど、LLMが登場するずっと前からそういう流れはあった。広まった不誠実さや、何でも代償を払ってでも名声を得ようとする行動が、全てを悪化させてる。海にゴミを捨てるのと同じことをしてる人がたくさんいる。Heartbleedが明らかな転機だったけど、それはオリジナルな意見からは遠いね。

まず最初に、NVDはずっと下がり続けてるよね。これは神話とは関係ない。プログラムに投入されるお金に対して、出てくる結果があまりにもひどい。セキュリティの世界はずっと防御を諦めて、CVEの優先順位をつけることに頼ってる。これはいろんな意味で間違ってる。 a) 存在しないものをスキャンすることはできない。 b) 最近のサプライチェーンの問題みたいに、マルウェアにはそもそもCVEがないけど、それでも大きなセキュリティ問題なんだ。つまり、CVEだけではすべてをカバーできてない。だからIOCが出てきても、初めて見るものなら全く役に立たない。実際に気にするなら、プロアクティブな防御が必要だよ。 c) いくつかのCWEsは、様々な防御手段で完全に防げるのに、なぜか組織はそうしない。これは技術的な問題じゃなくて、組織の問題だね。CVEプログラムの主な利点の一つは、保険などを通じて組織を罰する仕組みがあることだと思う。これがセキュリティの世界の多くの運営方法なんだ。反応的なスキャンアプローチに頼るのではなく、より強力なプロアクティブな防御策を考えるようになることに、ちょっと期待してるよ。