株式会社ソフテックは、2022年4月1日に株式会社サイバーセキュリティクラウドに吸収合併されました。詳しくはこちら。

SIDfm ブログ

  • 脆弱性情報 /
  • 脆弱性の管理の方法、プロセスの自動化 /
  • パッチ対応の自動化、SOAR

CISAの「既知の悪用された脆弱性カタログ」とは

2021.11.30 公開

はじめに

米国の国土安全保障省 (DHS) サイバーセキュリティ・インフラセキュリティ庁 (CISA) は2021年11月3日、拘束力のある運用指令 22-01 (以下、BOD 22-01 とします。) を発令し、組織内部の脆弱性管理手順の見直しを求めると共に、 「既知の悪用された脆弱性カタログ (Known Exploited Vulnerabilities Catalog) 」(以下、KEVs カタログとします。) への対応も要求しました。 KEVs カタログに含まれる脆弱性は、既に悪用が確認されたものの中でも米国の連邦政府全体に重大なリスクをもたらすと評価されたものです。 KEVs カタログは CISA によって維持管理されており、米国の連邦文民機関は、KEVs カタログに記載された脆弱性を指定の期日までに修正しなければなりません。

このブログ記事では、KEVs カタログが制定された背景と、BOD 22-01 によって米国の連邦政府機関の脆弱性対応の方針がどのように変更されるのかについて、お伝えいたします。

背景

米国の連邦政府機関では、実際に攻撃で使用されることのない多数の脆弱性への対応を優先的に行ってきました。 また、CVSS 評価値では低くスコアされているものの、組み合わせて利用されることで被害が大きくなる脆弱性を修正するための仕組みが整っていませんでした。 これらの過去の経緯はどのようなものだったのでしょうか。

CVSS 評価値と緊急指令による脆弱性修正期日の設定

CISA の前身である国家防護プログラム局 (NPPD) は、連邦政府機関が脆弱性を修正するために要する時間 (200日から300日に達することもある) を重大なリスクと捉え、 これに対応するため2015年5月21日に 拘束力のある運用指令 15-01 (以下、BOD 15-01 とします。) を発令しました。 BOD 15-01 は、米国の連邦文民機関に対し、インターネットからアクセスできるシステムに存在する CVSS 評価値で「緊急」と評価された脆弱性を、30日以内に緩和することを要求していました。

その後、発見される脆弱性の急増や既知の脆弱性が悪用されるまでの期間の短縮などを受け、 新たな 拘束力のある運用指令 19-02 (以下、BOD 19-02 とします。) が発令されました。 この BOD 19-02 は、BOD 15-01 を置き換えるものであり、インターネットからアクセスできるシステムに存在する脆弱性の修正を求めている点では BOD 15-01 と同じですが、 その期日が CVSS 評価値「緊急」の脆弱性で15日に短縮されています。また BOD 15-01 では言及されていなかった「重要」の脆弱性も30日以内に修正することが求められています。

このような CVSS 評価値に基づく修正期日の設定に加え、連邦政府全体に特に重大なリスクをもたらすと判断された脆弱性については個別に修正期日の設定された緊急指令 (Emergency Directive) が出されています。 例えば、2021年に入ってから発令された緊急指令は次のようになります。(括弧内は緊急指令を取り扱った弊社ブログ記事へのリンクです。)

CVSS 評価の限界

CISA はファクトシート の中で、CVSS 評価の限界について次のように述べています。

CISA は、Forum of Incident Response and Security Teams の Common Vulnerability Scoring System (CVSS) に基づくリスクスコアは CVE の提示する危険を常に正確に表現するものではないと気づいています。 攻撃者は、目標を達成するために「緊急」の脆弱性だけに頼るのではありません。最も広範かつ破壊的な攻撃の中には「重要」や「警告」だけでなく「注意」と評価された脆弱性も含まれていました。

2021年、攻撃者は Microsoft Exchange Server を悪用するために、後に全て「重要」と評価された4つの脆弱性を組み合わせました。 この方法はチェイン (chaining) として知られており、最初の足掛かりを得るために小さな脆弱性を使用し、次に追加の脆弱性を悪用して段階的に権限を昇格します。 (中略)

さらに、「緊急」と分類された脆弱性の多くは高度に複雑であり、実際に悪用されることはありません。 事実、CVEの総数のたった 4% だけが公に悪用されています。 しかしながら、攻撃者は選択した脆弱性を極めて短い期間で悪用します。 これら 4% の既知の悪用されたCVEの中で、42% が公表された当日に、50% が2日以内に、75% が28日以内に使用されています。 一方、CVSS はこれらの一部を「警告」だけでなく「注意」とスコアづけしています。

脆弱性対応の方針の変換

このような状況を改善するため米国政府は、活動中の攻撃者によって標的にされている脆弱性を最優先で修正するように方針を変更しました。 また個別の緊急指令を発令する代わりに、特定の脆弱性への緊急対応を仕組みとして構築することにもなりました。 このような意図をもって発令された BOD 22-01 では、CISA には上記のような脆弱性のリストを維持管理すること、連邦文民機関にはその脆弱性を指定された期間内に修正することとステータスを報告することが義務付けられています。

既知の悪用された脆弱性 (KEVs) カタログ

既知の悪用された脆弱性 (KEVs) カタログとは、CISA によって維持管理される、既に悪用が確認されたものの中でも米国の連邦政府全体に重大なリスクをもたらすと評価された脆弱性のリストです。 この KEVs は脆弱性対応において最優先で修正すべきものとされています。

KEVs カタログには修正期日が記載されており、基本的に、2017年から2020年までの脆弱性については BOD 22-01 の発令日時である2021年11月3日から6ヶ月、2021年のものについては2週間になっています。 この修正期日は状況によって変化するとされています。 また過去の緊急指令で修正が求められた脆弱性については、当該緊急指令の修正期日が記載されています。

KEVs カタログの2021年11月3日の発行当初、2017年から2020年までの脆弱性が182個、2021年の脆弱性が108個含まれていました。 なお KEVs カタログは固定されたものではなく、次のような基準を満たすことで新たなに脆弱性が追加されます。

  • CVE ID が割り当てられた
  • 脆弱性が実際に悪用されたという信頼できる証拠がある
  • ベンダーによるアップデートの提供など、脆弱性の明確な修正方法が存在する

HTML版だけでなくCSV版も用意されており、機械的な処理も行いやすいと言えます。JSON版は2021年11月30日現在、まだ開発中のようです。

連邦政府機関に要求されるアクション

BOD 22-01 では連邦文民機関のアクションとして

  1. 発行の60日以内に、この指令に従い内部の脆弱性管理手順のレビューと更新を行うこと
  2. CISA によって維持管理される脆弱性のカタログに記載された期日に従い、各脆弱性を修正すること
  3. リポジトリにリストされている脆弱性のステータスを報告すること

が求められています。

なお BOD 22-01BOD 19-02 を置き換えるものではなく、BOD 19-02 で要求されているインターネットからアクセス可能なシステムの「緊急」や「重要」と評価された脆弱性の修正は、引き続き必要とされています。

また BOD 22-01 は、中央情報局 (CIA) や国家安全保障局 (NSA) といったインテリジェンス・コミュニティや国防総省 (DoD) によって運用されるシステム、並びに国家セキュリティシステムには適用されないとされています。

まとめ

CISA の「既知の悪用された脆弱性 (KEVs) カタログ」について、制定された背景や特徴についてお伝えしました。 KEVs カタログは米国の連邦文民機関を対象としたものですが、国や組織に関わらず、対応すべき脆弱性の優先順付けに役立つものと考えます。

KEVs カタログに記載されている個別の脆弱性については、今後のブログエントリで個別に紹介する予定です。

更新履歴

  • 2021年11月30日

    • 新規公開

参照

  1. "Binding Operational Directive 22-01 Reducing the Significant Risk of Known Exploited Vulnerabilities," the Department of Homeland Security, Nov 3, 2021.
  2. "Known Exploited Vulnerabilities Catalog," Cybersecurity and Infrastructure Security Agency, Nov 3, 2021.
  3. "Reducing the Significant Risk of Known Exploited Vulnerabilities," Cybersecurity and Infrastructure Security Agency, Nov 3, 2021.
  4. "Reducing the Significant Risk of Known Exploited Vulnerabilities," Cybersecurity and Infrastructure Security Agency, Nov 3, 2021.
  5. Allen D. Householder, Jeff Chrabaszcz (Govini), Trent Novelly, David Warren, Jonathan Spring, "Historical Analysis of Exploit Availability Timelines," Software Engineering Institute, Carnegie Mellon University, Aug 10, 2020.


脆弱性からの組織防衛のために

あなたの組織で脆弱性が対策されていることを確認できますか? 弊社の継続的脆弱性管理ツール SIDfm VM は、管理対象のホストで使用するソフトウェアで新しく報告された脆弱性のピックアップを行い、影響判定や対策工程の把握まで、脆弱性管理をトータルでカバーいたします。

脆弱性の調査パッチ探しは一切不要!
脆弱性対策を自動化できるので工数大幅削減!
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる!

それらを全て実現するサービスがあります。

脆弱性管理ツール「SIDfm VM」について詳 しくはこちらから

SIDfm VM での脆弱性管理の具体的なプロセス

SIDfmセミナーご案内

  • システム管理者・運用者必見

    【SIDfmを活用した対策】

    脆弱性の情報収集から対策すべきポイントを特定、優先順位づけ、そして対策後の管理など、専門家が脆弱性対策の全体像を整理し事例などを交えて解説します。

    お申込みはこちらへ
最新の記事

脆弱性と対策のことなら

SIDfm

  • お問い合わせ

    SIDfm 各種サービスの使用法や購入において気になる点などお気軽にお問い合わせ下さい。

    お問い合わせ
  • 無料でトライアル

    SIDfm の VM、RA、Biz を実際に無料で使ってみてください。

    無料で試してみる