NISTの脆弱性解析 9割以上が「手つかず」 懸念されるリスク:Cybersecurity Dive
VulnCheckの調査によると、2024年2月中旬以降にNVDに追加された脆弱性のうち、NISTは10件に1件未満しか分析できていないことが判明した。これによってどのような影響が生じるのだろうか。
サイバーセキュリティ企業VulnCheckが2024年5月23日(現地時間、以下同)に発表した調査結果によると(注1)、国立標準技術研究所(NIST)は、同年2月中旬以降に「National Vulnerability Database」(NVD)に掲載された脆弱(ぜいじゃく)性のうち10件中1件未満しか解析できていなかった。
NISTの脆弱性分析の遅れが及ぼす影響とは?
2024年5月19日の時点で、NVDに追加された1万2720件の脆弱性のうち、1万1885件が分析されておらず、重要なデータによる補強も実施されていない。
VulnCheckの調査によると、同社のカタログに掲載されている脆弱性で、悪用される恐れのあるものの半数以上が、NISTによる分析を待つ状態だった。現在VulnCheckは、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の取り組みの倍の規模で、悪用されている脆弱性を積極的に追跡している。
NISTは、バックログが増加する中で「2024年2月中旬にNVDプログラムを縮小し(注2)、最も重要な脆弱性や活発に悪用されている脆弱性の分析を優先している」と述べた。NISTは、VulnCheckの調査に関連する質問には回答していない。
VulnCheckの調査は、NISTが分析作業を一時的に停止した際に起こる不足について、サイバーセキュリティの専門家が事前に共有していた懸念を浮き彫りにするものである。リソースに制約のある同機関は、2023年に3万3137件という過去最高の脆弱性開示数を報告したが、そこから遅れが生じた。
VulnCheckのパトリック・ギャリティ氏(シニアリサーチャー)は、電子メールで次のように述べた。
「このような遅れが生じる前、NVDは大半の脆弱性をタイムリーに処理していた。一方、共通脆弱性識別子(CVE)を付与する機関が、悪用の証拠がある脆弱性を開示しなかった例もあった」
VulnCheckによると、NISTは、「Microsoft Windows」「Adobe ColdFusion」「Progress Flowmon」「ChatGPT」など悪用の危険性がある脆弱性をまだ分析していない。
また、NISTがNVDに関連する活動の一部を休止したことにより、概念実証時の悪用が懸念される脆弱性の多くが未検証のままになっている。NISTの活動に遅れが生じてから、これらの脆弱性のうち4件に1件以上が分析を待つ状態だ。
ギャリティ氏は、次のように述べた。
「セキュリティツール、脅威やリスクにスコアを付けるシステムの多くは、共通プラットフォームにおける列挙や共通脆弱性評価システム(CVSS)などをはじめとするNVDのエンリッチメントデータに依存している。そのため、NISTの活動に遅れが生じると、セキュリティコミュニティー全体に連鎖的な影響が生じる」
(注1)The Real Danger Lurking in the NVD Backlog(VulnCheck)
(注2)What’s going on with the National Vulnerability Database?(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
- SOCチームの業務に変革を Splunkのセキュリティ製品最新アップデート総まとめ
Splunkはラスベガスで開催中の大規模カンファレンス「.conf24」で、SOCチームの業務を変革する複数の新製品および製品アップデートを公開した。本稿は現地から最新情報をお届けする。 - Cisco買収の影響はいかに? Splunkのトップが今後のロードマップを明言
Splunkはラスベガスで大規模カンファレンス「.conf24」を開催している。同イベントではCiscoによる買収の影響や、Splunk製品全体に組み込まれるAIソリューションについてアナウンスがあった。 - Windows OSにインストールされている全てのPHPに影響 緊急度「Critical」の脆弱性が発覚
PHPに重大なセキュリティ脆弱性が存在することが発覚した。この欠陥はWindows OSにインストールされている全てのバージョンのPHPに影響する。 - なぜ日本だけサードパーティー侵害が突出するのか? その背景にある根深い慣習
ランサムウェア激化に伴い、関連会社を含めたサプライチェーンのセキュリティ確保は急務となっている。しかし日本企業にはこれを阻む幾つかのハードルがある。それは一体何か。