2025年4月16日、米国のIT研究団体MITREが提供している脆弱(ぜいじゃく)性識別子「CVE」の存続が危ぶまれているという衝撃的なニュースが世界中を駆け巡った。一体どういうことなのか。
脆弱(ぜいじゃく)性識別子「CVE」(Common Vulnerabilities and Exposures)は、脆弱性情報の一貫した共有を可能にする識別子として、世界各国で活用されている。2025年4月16日(現地時間)、CVEを管理する米国のIT研究団体MITREが運営する研究機関Center for Securing the Homeland(CSH)のバイスプレジデント兼ディレクターを務めるヨスリー・バルソウム氏が役員会に宛てた書簡が突如としてリークされた。その内容は、今後の脆弱性対策を脅かすものだった。どのような内容だったのか。
リークされたバルソウム氏の書簡は以下のようなものだった。
「MITREのCVEに対する支援継続について、重要な潜在的問題があることをお伝えする。2025年4月16日に、CVE、およびCWE(共通脆弱性タイプ一覧)などの複数の関連プログラムを開発、運用、モダナイズするための現在の契約が期限切れとなる。米国政府は、このプログラムを支えるというMITREの役割を継続させるために多大な努力を払ってくれているが、仮にサービスが中断した場合、CVEに複数の重大な影響が及ぶことが予想される。脆弱性に関する国家的なデータベースや勧告、ツールベンダー、インシデント対応業務、あらゆる種類の重要なインフラに悪影響が及ぶだろう。MITREは、国際的なリソースであるCVEに引き続きコミットしていく。役員会のメンバーとして、皆様の継続的な協力に感謝する」
MITREの広報担当者は、英Computer Weeklyの取材に対して、この書簡がバルソウム氏のものであることを認めた。
CVEは1999年にMITREが開発した、IT製品の脆弱性に一意の識別子を割り当て、情報公開を円滑に行う仕組みだ。これまで米国土安全保障省(DHS)、およびその傘下にある米国サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)による資金提供を受けてMITREが運営してきた。
IT業界におけるCVEの役割は計り知れないほど大きい。世界中のセキュリティ関係者に新しく発見された脆弱性や、それを狙った攻撃についての詳細なデータを提供している。MITREによると、CVEプログラムはIT業界の「支柱」で、約400億ドルもの価値がある産業を支えているという。CVEはMicrosoftの月例アップデートの際に公開されるセキュリティ更新プログラムの情報に含まれているので、IT担当者にとってはおなじみだろう。
今回資金提供が契約延長に至らなかったのは、米国のドナルド・トランプ大統領の政権における大規模な予算削減の影響との見方がある。ビジネス向けSNS(ソーシャルネットワーキングサービス)「LinkedIn」のある投稿は、MITREとの契約終了は計画的なもので、CISAや米国立標準技術研究所(NIST)の予算や人員の削減と合わせて、米国政府は中核的なセキュリティ機関を解体しつつあると推測している。
仮に一時的な停止だとしても、CVEの機能が失われれば、IT業界全体に甚大な影響が生じる。近年、発行されるCVEの数は過去最高を更新し続けており、増加の勢いは増すばかりだ。
今回の混乱は、金銭目的のサイバー犯罪者や、国家主体の攻撃集団にとって絶好のチャンスとなるだろう。脆弱性の公開が遅れれば、攻撃者はその隙を突いて、新たな脆弱性を探し出し、悪用する可能性がある。一方で、セキュリティ専門家にとっては脆弱性情報へのアクセスが難しくなり、対処が遅くなることが懸念される。
特に、中国やロシアなどの国が、米国やその同盟国のサイバー安全保障体制に及ぼす潜在的なリスクは極めて深刻だ。SNS上では、安全保障関係者による、危機的状況を訴える投稿が相次いだ。
MITREによると、CVEの過去の記録は引き続きソースコード共有サービス「GitHub」から参照できる。
新しく発見された脆弱性については、専門家による、コミュニティー主導の解決を図る取り組みが始まっている。セキュリティベンダーVulnCheckのCEOであるアンソニー・ベッティーニ氏は、次のように見解を述べる。「CVEプログラムへの長年にわたる貢献に対し、まずはMITREに感謝したい。CVEを含むMITREのどのサービスにどんな影響が及ぶのかはまだ不確定だ。VulnCheckは今後数日から数週間にわたり、コミュニティーのためにCVEの割り当てを継続する。この作業を迅速に行うため、VulnCheckはCVEを1000件分事前に予約している。(注)今後さらに割り当てを拡大していく予定だ」
※注:「予約」とは、CVEの付与を許可された認定機関「CVE Numbering Authorities」(CNA)が公開前にCVEの番号を予約することを指す。
VulnCheckはWebサイトで脆弱性報告サービスを提供している。「VulnCheckはMITREの状況を注視している。ユーザーとパートナー企業、セキュリティコミュニティー全体が、最新の、正確な脆弱性データに継続的にアクセスできるように努めていく」。ベッティーニ氏はそう述べている。
なお、2025年5月時点では以下のような状況になっている。
(翻訳・編集協力:編集プロダクション雨輝)
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
