すぐに対処したい「既に悪用が確認された脆弱性カタログ」

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は9月8日、「既に悪用が確認された脆弱性(KEV)カタログ[1]」に12件の脆弱性を追加しました。本稿では、このKEVカタログについて紹介します。

サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)とは

サイバーセキュリティインフラストラクチャセキュリティ庁(CISA; Cybersecurity & Infrastructure Security Agency)は、米国国土安全保障省に属する政府機関であり、情報セキュリティとインフラの安全に関わる業務を行っています。

The Cybersecurity and Infrastructure Security Agency (CISA) is the Nation’s risk advisor, working with partners to defend against today’s threats and collaborating with industry to build more secure and resilient infrastructure for the future.

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は国家的リスクに関する助言を行う組織であり、今日の脅威に対する防衛のため関連組織と行動をし、将来に向けてより安全で強靭なインフラ設備を構築するために産業界と協同している。

[2]ABOUT CISA

悪用が確認された脆弱性(KEV)カタログとは

KEVカタログとは、”the Known Exploited Vulnerability (KEV) catalog”のことを指し、日本語では「既に悪用が確認された脆弱性カタログ」と訳すことができます。KEVについて、CISAは以下の様に述べています。

For the benefit of the cybersecurity community and network defenders—and to help every organization better manage vulnerabilities and keep pace with threat activity—CISA maintains the authoritative source of vulnerabilities that have been exploited in the wild: the Known Exploited Vulnerability (KEV) catalog.
サイバーセキュリティ・コミュニティとネットワーク・ディフェンダーのために、また、すべての組織が脆弱性をより適切に管理し、脅威の動きに対応できるように、CISAは、実際に悪用された脆弱性の権威ある情報源であるKnown Exploited Vulnerability(KEV)カタログを維持している。

[3]REDUCING THE SIGNIFICANT RISK OF KNOWN EXPLOITED VULNERABILITIES

米国内におけるKEVの位置づけ

米国では、全ての連邦民間行政機関(Federal Civilian Executive Branch; FCEB)は法令に基づき、KEVカタログに掲載された脆弱性に対応することを義務付けられています。

All federal civilian executive branch (FCEB) agencies are required to remediate vulnerabilities in the KEV catalog within prescribed timeframes under Binding Operational Directive (BOD) 22-01, Reducing the Significant Risk of Known Exploited Vulnerabilities.
すべての連邦民間行政機関(FCEB)は、拘束的運用指令(BOD)22-01「既知の脆弱性の重大なリスクを軽減する」に基づき、KEVカタログの脆弱性を所定の期間内に是正することが要求されている。

[3]REDUCING THE SIGNIFICANT RISK OF KNOWN EXPLOITED VULNERABILITIES

なお、FCEB機関については、ホワイトハウスのWebサイト[4]にて以下のように定義されています。

the term “Federal Civilian Executive Branch Agencies” or “FCEB Agencies” includes all agencies except for the Department of Defense and agencies in the Intelligence Community.
「連邦民間行政機関」または「FCEB機関」という用語は、国防総省と情報機関の機関を除くすべての機関を含む。

[4]Executive Order on Improving the Nation’s Cybersecurity

脆弱性情報がKEVカタログに掲載される基準

KEVカタログに脆弱性が掲載される基準は「CVEによる識別番号が割り振られているか」「既に悪用されている証拠があるかどうか」「明確な対処方法があるかどうか」の3点となっています。

 

  • The vulnerability has an assigned Common Vulnerabilities and Exposures (CVE) ID.
  • There is reliable evidence that the vulnerability has been actively exploited in the wild.
  • There is a clear remediation action for the vulnerability, such as a vendor-provided update.

 


  • その脆弱性には、Common Vulnerabilities and Exposures (CVE) ID が割り当てられてる。
  • その脆弱性が実際に悪用されているという信頼できる証拠がある。
  • ベンダーが提供するアップデートなど、その脆弱性に対する明確な是正措置がある。
[3]REDUCING THE SIGNIFICANT RISK OF KNOWN EXPLOITED VULNERABILITIES

特徴的なのは、その脆弱性の深刻さや危険性ではなく、既に悪用されているかどうかを掲載基準として設けているところです。政府機関や民間の組織が対応すべき指針を明確に示そうという姿勢が表れていると考えられます。

掲載されている脆弱性の例

2021年12月、Apache Log4jの脆弱性が大変な問題となりました。当時の脆弱性についての詳細はこちらの記事(Webサーバーを突如として襲った脆弱性「Log4j」とは?)をご覧ください。

このLog4jについても、2021年12月10日にKEVカタログへ掲載されています。政府機関の対応期限が同年12月24日となっていることから、至急の対応が求められる脆弱性であったことがこのKEVカタログからもうかがえます。

kev_log4j

図1 Log4jについての掲載内容(KEV[1]より抜粋)

まとめ

米CISAが維持管理する「既に悪用が確認された脆弱性(KEV)カタログ」を紹介しました。米政府機関のほとんどがこのKEVへの対応を義務化していることや実際に悪影響が出ていることからも、対応が必須の脆弱性一覧だと考えられます。定期的にKEVカタログをチェックして、システムの安全性向上につなげてみてはいかがでしょうか。

参考文献

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。