NISTの脆弱性解析 9割以上が「手つかず」 懸念されるリスクCybersecurity Dive

VulnCheckの調査によると、2024年2月中旬以降にNVDに追加された脆弱性のうち、NISTは10件に1件未満しか分析できていないことが判明した。これによってどのような影響が生じるのだろうか。

» 2024年06月19日 07時30分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 サイバーセキュリティ企業VulnCheckが2024年5月23日(現地時間、以下同)に発表した調査結果によると(注1)、国立標準技術研究所(NIST)は、同年2月中旬以降に「National Vulnerability Database」(NVD)に掲載された脆弱(ぜいじゃく)性のうち10件中1件未満しか解析できていなかった。

NISTの脆弱性分析の遅れが及ぼす影響とは?

 2024年5月19日の時点で、NVDに追加された1万2720件の脆弱性のうち、1万1885件が分析されておらず、重要なデータによる補強も実施されていない。

 VulnCheckの調査によると、同社のカタログに掲載されている脆弱性で、悪用される恐れのあるものの半数以上が、NISTによる分析を待つ状態だった。現在VulnCheckは、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の取り組みの倍の規模で、悪用されている脆弱性を積極的に追跡している。

 NISTは、バックログが増加する中で「2024年2月中旬にNVDプログラムを縮小し(注2)、最も重要な脆弱性や活発に悪用されている脆弱性の分析を優先している」と述べた。NISTは、VulnCheckの調査に関連する質問には回答していない。

 VulnCheckの調査は、NISTが分析作業を一時的に停止した際に起こる不足について、サイバーセキュリティの専門家が事前に共有していた懸念を浮き彫りにするものである。リソースに制約のある同機関は、2023年に3万3137件という過去最高の脆弱性開示数を報告したが、そこから遅れが生じた。

 VulnCheckのパトリック・ギャリティ氏(シニアリサーチャー)は、電子メールで次のように述べた。

 「このような遅れが生じる前、NVDは大半の脆弱性をタイムリーに処理していた。一方、共通脆弱性識別子(CVE)を付与する機関が、悪用の証拠がある脆弱性を開示しなかった例もあった」

 VulnCheckによると、NISTは、「Microsoft Windows」「Adobe ColdFusion」「Progress Flowmon」「ChatGPT」など悪用の危険性がある脆弱性をまだ分析していない。

 また、NISTがNVDに関連する活動の一部を休止したことにより、概念実証時の悪用が懸念される脆弱性の多くが未検証のままになっている。NISTの活動に遅れが生じてから、これらの脆弱性のうち4件に1件以上が分析を待つ状態だ。

 ギャリティ氏は、次のように述べた。

 「セキュリティツール、脅威やリスクにスコアを付けるシステムの多くは、共通プラットフォームにおける列挙や共通脆弱性評価システム(CVSS)などをはじめとするNVDのエンリッチメントデータに依存している。そのため、NISTの活動に遅れが生じると、セキュリティコミュニティー全体に連鎖的な影響が生じる」

(注1)The Real Danger Lurking in the NVD Backlog(VulnCheck)
(注2)What’s going on with the National Vulnerability Database?(Cybersecurity Dive)

© Industry Dive. All rights reserved.