エンジニアブログ2024.05.08

SNSでシェア

NIST NVDの脆弱性情報更新が停滞しているので調べてみた

GW中に風邪で寝込んでしまい、家で古銭プッシャー2を一人でプレイしていたらGWが終わってやる気がでない岩間です。みなさんは、GW満喫できたでしょうか。

先日社内の情報共有で知ったのですが、2月12日頃からNISTのNVDが更新する脆弱性情報のエンリッチメントデータが大幅に減っているようです。

停滞の原因と影響

NVDの更新が停滞している理由は、分析作業の負担増大が原因のようです。ソフトウェアが増加する一方で、スタッフは最大でも21名(！)しか在席していないようです。世界中からの脆弱性情報をその数で処理するのは流石に大変・・・。分析作業を問題を解決するためにコンソーシアムを立ち上げる予定とのことですが、具体的な計画は公表されていません。

停滞している理由は分かりましたので、次に具体的にどのような影響が起きているのか調べてみました。

3/12に公表されたGhostRace(CVE-2024-2193)を例にあげると、NVDにCVE-2024-2193が登録されたのは3/15です。ただし、3/15に登録された情報は説明文のみで、5/7時点でもCVSSv3.1のスコアがN/Aのままとなっています。 CWE情報もCPE情報も追加されていません。

国内の脆弱性情報DBには、JVNもありますので比較してみましょう。
4/15に公表されたバッファロー製無線LANの脆弱性(CVE-2024-23486)を見てみます。こちらの脆弱性は、国内のリサーチャーがIPAの脆弱性情報届出のシステムを利用して報告されているため、JVNに脆弱性情報が登録されています。

JVNDB-2024-000040 – JVN iPedia – 脆弱性対策情報データベース

一方、NVDのページを確認すると、脆弱性の説明文のみでCVSSv3.1スコアやCWE,CPE情報がありません。 NISTが直接する登録する情報だけでなく、パートナーグループからの情報も更新が追い付いていないことが分かります。

あと、この調査で気が付いたのですが、JVNトップのお知らせにしっかりと書いてありますね。

■ NIST NVDの脆弱性対策情報について（2024/4/24 掲載）

NIST NVDから「最も重大な脆弱性の分析を優先している」とアナウンスがおこなわれています。
https://nvd.nist.gov/general/news/nvd-program-transition-announcement

それに伴いJVN iPediaへ新しく登録する情報数についても変動しています。
（JVN iPediaではNVDが分析が終えている情報を取扱いします。）


■ JVN から公表されるアドバイザリの共通脆弱性評価システム CVSS v2 評価の掲載終了のお知らせ（2024/3/11）

2024年4月1日以降に JVN（https://jvn.jp/index.html）に新規に公表されるアドバイザリから、共通脆弱性評価システム CVSS v2 の評価の掲載が終了し、CVSS v3 評価のみが掲載されます。
それに伴い、JVN から公表された情報のみを元に JVN iPedia に登録される脆弱性対策情報についても CVSSv2 の評価は掲載されなくなります。

本筋からズレますが、新規に公表される情報にはCVSSv2が掲載されないので、CVSSv2で運用している組織は早期にCVSSv3.1に移行しましょう！

インターネットで指摘されている通り、2/15以降のNVDは更新が追い付いていないことが分かりました。他にも自分が調査時点で気になった疑問と想定できそうなものについて調べてみました。

登録や更新が止まっている？

最も重大な脆弱性の分析を優先していると書いてある通り、登録や更新は行われています。過去20件の履歴を確認すると、2/15以降も脆弱性情報の登録や更新が行われている様子が分かります。

NVD – CVE-2024-29988

NVD – CVE-2024-4071

NVD – CVE-2024-4072

また、NVD APIで2/15から5/7までの変更履歴件数を調べたところ28,195件ありました。この中には、新規登録の脆弱性や参考情報の更新のみの脆弱性も含まれているため、あまり参考にはなりませんが全く止まっている訳ではなく、少ないですが脆弱性情報は更新されています。

CVEの採番も止まっている？

CVEの採番および管理はMITREが行っており、NVDを管理しているNISTとは異なるため、本件とは関係ありません。もう少し厳密に言うとCVEの採番はMITREが認可した複数の組織で管理されており、採番できる組織をCNA (CVE Numbering Authority)と呼びます。一応確認してみたところ、5/7時点でMITREのWebページでCVE発番の更新について言及しているアナウンスはありませんでした。NVDのように更新が停滞するといったことは無いでしょう。

JVNだけウォッチしていればいいのか？

国内限定であればJVNを見るだけで良いのかと言われると、組織によって収集したい脆弱性情報は変わってくるので一概にJVNだけで良いとも悪いとも言えません。ウォッチ対象の製品が国内製品のみだったり、国内で影響がありそうな重要な情報だけ追いたいとかであれば、JVN以外にもJPCERT/CCやISACなどの機関が発信する情報だけでも良い場合もありますが、組織によって異なるとしか言えません。悪用されているような影響の大きい脆弱性はKEVCを見るのもいいかもしれませんが、用途まで考慮すると候補が多数になるため、この記事では割愛します。

幅広い脆弱性情報をウォッチあるいはリサーチする必要がある場合は、JVNやNVDだけでは不十分と言えるでしょう。NVD以外の候補を検討する必要があります。

NVD以外の候補

脆弱性情報のDBサービスは多数あります。ここでは私が知っているサービスの一部を紹介します。ただし各サービスについて詳しくは調べていませんので、詳細はご自身でお調べください。注意点として、サービス内部では、NVDの情報のみを参照している可能性があります。また、実際に利用する場合は、機能だけでなくライセンス（商用利用が可能か）やプライシングも確認する必要があります。

VulDB
- VulnDBとは違うので注意。無料アカウントでは商用利用不可。独自のスコアリングを行っており、NVDには登録されていなかったエンリッチメントがVulDBでは確認できる。先の例であげたGhostRaceについてもCVSSv3.1、CPE,CWEが登録されている。またCNAでもあるためサービスの信頼性も高い。
Vulmon
- 無料だが、APIなどが提供されていない。APIを利用したい場合は有償版のVulmon alerts
Vulmon alerts
- ProfessionalプランからAPIが使えるみたい
SECMON
- OSS、自社利用のみで商用利用はNG
VulnDB
- お客様から使っているという声をたまに聞く程度。詳細不明
Vulners
- 聞いたことがある程度。詳細不明
NVD++
- 今回調べていた際に海外記事で紹介されていた代替サービス。VulnCheckというサービスも提供しているが詳細不明

参考記事

SNSでシェア

この記事の筆者

wild0ni0n

筆者の記事一覧はこちら