サイト内の現在位置

脆弱性対応の判断に有効なKEV(Known Exploited Vulnerabilities catalog)の解説

NECセキュリティブログ

2022年11月4日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの松本です。本記事では、米国の政府機関CISA(Cybersecurity&Infrastructure Security Agency)が公開しているKnown Exploited Vulnerabilities catalog new window[1](以降KEV)について解説します。

Known Exploited Vulnerabilities catalogとは

KEVは、CISAが公開している実際に悪用が確認された脆弱性のリストです。KEVを参照することで、多数ある脆弱性のうち、特に悪用されるリスクが高く、かつ明確な対策が公開されている脆弱性の見逃しを防ぐことができます。

KEVに登録される条件

KEVに登録されるには、以下の3つの条件を満たす必要があります。

条件①:Assigned CVE ID (CVE番号が割り振られていること)

CVEとは、脆弱性を識別するための共通脆弱性識別子です。日本でも多くの組織において、脆弱性を管理するために利用されています。KEVでは、CVEが割り振られていない脆弱性は対象外となります。

条件②:Active Exploitation (実際に攻撃が観測されていること/悪用されていること)

KEVは攻撃の試み(Attempted Exploitation)があったことや、攻撃の成功(Success Exploitation)が観測されたことが条件となります。
ここでいう攻撃の試みとは、実システムに攻撃したものの成功しなかった場合や、ハニーポットで観測された攻撃(攻撃が成功していても)、あるいはそれ以外のCISAが観測したアクティビティを指します。なお、攻撃の前段階で行われるスキャン行為については、実際に脆弱性に対する攻撃を実行していない場合には、攻撃が観測されたとは見なしていません。あくまでも悪用の可能性が高いかどうかではなく、攻撃が観測されたかどうかを判定基準としていることに注意が必要です。
その他、PoC(脆弱性を再現するための実証コード)公開の有無/ネットワークを介した攻撃が可能/特権がなくてもアクセス可能/横展開が可能といった、一般的に脆弱性の悪用可能性を判断するような要素についても、KEVでは考慮されません。

条件③:Clear Remediation Guidance(明確な是正ガイダンスが公開されていること)

脆弱性に対するベンダーの是正ガイダンスが公開されているかどうかも条件に含まれています。ここでいうガイダンスというのは、パッチの公開に限定されず、その脆弱性に対する緩和策や回避策である場合もあります。例えば、サポート切れの製品であれば基本的にはパッチは公開されないため、緩和策や回避策が是正ガイダンスに記載されます。

条件①、②、③をすべて満たすものは、本記事を執筆している2022年10月20日時点で839件でした。CVEとして採番された脆弱性の数が18万件以上あることを踏まえると、KEVに登録された数は多くはありません。当然、KEVに登録されたもの以外にも早急な対策が必要となる脆弱性はありますが、KEVは脆弱性対応において特に考慮が必要なものを特定する上で有用な一つの指標として利用できると考えています。

KEVの利用方法

KEVに登録された情報を確認する方法を紹介します。

1. WEBサイトの画面上から確認する

確認したいCVE番号が明確であって、数が少ない場合にはWEBサイトの画面で見ても十分かもしれません。Searchという文字の横に、検索キーワードを入力するとリストをフィルタリングすることが可能です。

2. ダウンロードファイル(CSV形式/JSON形式)を使って確認する

組織で把握している脆弱性情報の一覧ファイルなどが手元にある場合には、CSV形式もしくはJSON形式でダウンロードしてから活用するとよいでしょう。

3. 最新情報を受け取る

サブスクライブに登録しておけば、KEVの更新があった際に通知を受け取ることができます。登録にはメールアドレスが必要です。

まとめ

KEVについて解説をしました。CISAによれば、CVSS値で「重大」や「高」と判定された脆弱性のうち、実際に悪用される脆弱性は全体の4%だと報告しています。また、その4%のうち42%がゼロデイ攻撃であり、50%が2日以内、75%が28日以内に悪用されているとも記載しています PDF[4]。このように実際に脆弱性の悪用が始まると、すぐに対策を講じないと被害に遭う可能性が高くなってしまいます。一方で新たな脆弱性が日々発見されており、どの脆弱性から対処すればよいか分からないというのが現実だと思います。KEVに追加される脆弱性は多くないものの、すぐにでも被害が発生する可能性のある脆弱性ばかりです。重大な脆弱性について迅速に対応できるように、こういったリストも活用してみてはいかがでしょうか。

参考URL

  1. KNOWN EXPLOITED VULNERABILITIES CATALOG
    new windowhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog
  2. 共通脆弱性識別子CVE概説
    new windowhttps://www.ipa.go.jp/security/vuln/CVE.html
  3. REDUCING THE SIGNIFICANT RISK OF KNOWN EXPLOITED VULNERABILITIES
    new windowhttps://www.cisa.gov/known-exploited-vulnerabilities

執筆者プロフィール

松本 康平(まつもと こうへい)
セキュリティ技術センター リスクハンティング・アナリシスグループ

経歴:
2017年に新卒入社、セキュア開発運用に関するドキュメント整備、リスクアセスメントに従事
2018年にIPA 中核人材育成プログラムにて制御システムセキュリティについて知見を獲得
2019年から現在まで、ペネトレーションテスト、脆弱性診断、インシデントレスポンス対応、セキュリティ関連のツール調査に従事
その他:
趣味は、愛犬・キャンプ・料理

執筆者の他の記事を読む

アクセスランキング