はじめに

米国の国土安全保障省 (DHS) サイバーセキュリティ・インフラセキュリティ庁 (CISA) は2021年11月3日、拘束力のある運用指令 22-01 (以下、BOD 22-01 とします。) を発令し、組織内部の脆弱性管理手順の見直しを求めると共に、 「既知の悪用された脆弱性カタログ (Known Exploited Vulnerabilities Catalog) 」(以下、KEV カタログとします。) への対応も要求しました。 KEV カタログに含まれる脆弱性は、既に悪用が確認されたものの中でも米国の連邦政府全体に重大なリスクをもたらすと評価されたものです。 KEV カタログは CISA によって維持管理されており、米国の連邦文民機関は、KEV カタログに記載された脆弱性を指定の期日までに修正しなければなりません。

このブログ記事では、KEV カタログが制定された背景と、BOD 22-01 によって米国の連邦政府機関の脆弱性対応の方針がどのように変更されるのかについて、お伝えいたします。

背景

米国の連邦政府機関では、実際に攻撃で使用されることのない多数の脆弱性への対応を優先的に行ってきました。 また、CVSS 評価値では低くスコアされているものの、組み合わせて利用されることで被害が大きくなる脆弱性を修正するための仕組みが整っていませんでした。 これらの過去の経緯はどのようなものだったのでしょうか。

CVSS 評価値と緊急指令による脆弱性修正期日の設定

CISA の前身である国家防護プログラム局 (NPPD) は、連邦政府機関が脆弱性を修正するために要する時間 (200日から300日に達することもある) を重大なリスクと捉え、 これに対応するため2015年5月21日に 拘束力のある運用指令 15-01 (以下、BOD 15-01 とします。) を発令しました。 BOD 15-01 は、米国の連邦文民機関に対し、インターネットからアクセスできるシステムに存在する CVSS 評価値で「緊急」と評価された脆弱性を、30日以内に緩和することを要求していました。

その後、発見される脆弱性の急増や既知の脆弱性が悪用されるまでの期間の短縮などを受け、 新たな 拘束力のある運用指令 19-02 (以下、BOD 19-02 とします。) が発令されました。 この BOD 19-02 は、BOD 15-01 を置き換えるものであり、インターネットからアクセスできるシステムに存在する脆弱性の修正を求めている点では BOD 15-01 と同じですが、 その期日が CVSS 評価値「緊急」の脆弱性で15日に短縮されています。また BOD 15-01 では言及されていなかった「重要」の脆弱性も30日以内に修正することが求められています。

このような CVSS 評価値に基づく修正期日の設定に加え、連邦政府全体に特に重大なリスクをもたらすと判断された脆弱性については個別に修正期日の設定された緊急指令 (Emergency Directive) が出されています。 例えば、2021年に入ってから発令された緊急指令は次のようになります。(括弧内は緊急指令を取り扱った弊社ブログ記事へのリンクです。)

• ED 21-04 Mitigate Windows Print Spooler Service Vulnerability
  (Windows の印刷スプーラのゼロデイ脆弱性「PrintNightmare」とは)
• ED 21-03 Mitigate Pulse Connect Secure Product Vulnerabilities
  (2021年4月 Pulse Connect Secure, Microsoft Exchange Server における「重大な脆弱性」について)
• ED 21-02 Mitigate Microsoft Exchange On-Premises Product Vulnerabilities
  (2021年4月 Pulse Connect Secure, Microsoft Exchange Server における「重大な脆弱性」について)
• ED 21-01 Mitigate SolarWinds Orion Code Compromise
  

CVSS 評価の限界

CISA はファクトシート の中で、CVSS 評価の限界について次のように述べています。

脆弱性対応の方針の変換

このような状況を改善するため米国政府は、活動中の攻撃者によって標的にされている脆弱性を最優先で修正するように方針を変更しました。 また個別の緊急指令を発令する代わりに、特定の脆弱性への緊急対応を仕組みとして構築することにもなりました。 このような意図をもって発令された BOD 22-01 では、CISA には上記のような脆弱性のリストを維持管理すること、連邦文民機関にはその脆弱性を指定された期間内に修正することとステータスを報告することが義務付けられています。

既知の悪用された脆弱性 (KEV) カタログ

既知の悪用された脆弱性 (KEV) カタログとは、CISA によって維持管理される、既に悪用が確認されたものの中でも米国の連邦政府全体に重大なリスクをもたらすと評価された脆弱性のリストです。 この KEV は脆弱性対応において最優先で修正すべきものとされています。

KEV カタログには修正期日が記載されており、基本的に、2017年から2020年までの脆弱性については BOD 22-01 の発令日時である2021年11月3日から6ヶ月、2021年のものについては2週間になっています。 この修正期日は状況によって変化するとされています。 また過去の緊急指令で修正が求められた脆弱性については、当該緊急指令の修正期日が記載されています。

KEV カタログの2021年11月3日の発行当初、2017年から2020年までの脆弱性が182個、2021年の脆弱性が108個含まれていました。 なお KEV カタログは固定されたものではなく、次の基準を満たすことで新たな脆弱性が追加されます。

1. CVE ID が割り当てられている

2. 脆弱性が現に悪用されているという信頼できる証拠がある

   ここでの「悪用されている」には、攻撃者が標的システムでの脆弱性の悪用に成功したもののみならず、 攻撃者が脆弱性の悪用を試みたものの標的システムが脆弱ではなかったなどの理由により悪用に成功しなかったものも含まれます。

   反対に「スキャン」や「悪用に関するセキュリティ調査」、「実証コード (PoC)」などは、実際に悪用されたとは見做されません。 実証コードの公開は、攻撃者による脆弱性悪用の可能性を高めるものの、脆弱性の悪用を自動的に指し示すものではないため、KEV カタログへの追加の要件ではないとされています。

3. ベンダーによるアップデートの提供など、脆弱性の明確な修正方法が存在する

   稀にですが CVE-2022-26134 のようにベンダーによるアップデートの提供前に KEV カタログに追加されることもあります。

HTML版だけでなくCSV版も用意されており、機械的な処理も行いやすいと言えます。 JSON版は2021年11月30日現在、まだ開発中のようです。 JSON版も提供されました。 また NVD の CVE-ID ごとのページ にも「This CVE is in CISA's Known Exploited Vulnerabilities Catalog」と表記されるようになりました。

(2022年09月28日 更新)

連邦政府機関に要求されるアクション

BOD 22-01 では連邦文民機関のアクションとして

1. 発行の60日以内に、この指令に従い内部の脆弱性管理手順のレビューと更新を行うこと
2. CISA によって維持管理される脆弱性のカタログに記載された期日に従い、各脆弱性を修正すること
3. リポジトリにリストされている脆弱性のステータスを報告すること

が求められています。

なお BOD 22-01 は BOD 19-02 を置き換えるものではなく、BOD 19-02 で要求されているインターネットからアクセス可能なシステムの「緊急」や「重要」と評価された脆弱性の修正は、引き続き必要とされています。

また BOD 22-01 は、中央情報局 (CIA) や国家安全保障局 (NSA) といったインテリジェンス・コミュニティや国防総省 (DoD) によって運用されるシステム、並びに国家セキュリティシステムには適用されないとされています。

まとめ

CISA の「既知の悪用された脆弱性 (KEV) カタログ」について、制定された背景や特徴についてお伝えしました。 KEV カタログは米国の連邦文民機関を対象としたものですが、国や組織に関わらず、対応すべき脆弱性の優先順付けに役立つものと考えます。

KEV カタログに記載されている個別の脆弱性については、今後のブログエントリで個別に紹介する予定です。

更新履歴

• 2021年11月30日

  • 新規公開

• 2022年09月28日

  • KEV カタログへの追加基準の詳細を追加しました。
  • JSON 版の提供や NVD の CVE-ID ページでの記載を追加しました。

参照

1. "Binding Operational Directive 22-01 Reducing the Significant Risk of Known Exploited Vulnerabilities," the Department of Homeland Security, Nov 3, 2021.
2. "Known Exploited Vulnerabilities Catalog," Cybersecurity and Infrastructure Security Agency, Nov 3, 2021.
3. "Reducing the Significant Risk of Known Exploited Vulnerabilities," Cybersecurity and Infrastructure Security Agency, Nov 3, 2021.
4. "Reducing the Significant Risk of Known Exploited Vulnerabilities," Cybersecurity and Infrastructure Security Agency, Nov 3, 2021.
5. Allen D. Householder, Jeff Chrabaszcz (Govini), Trent Novelly, David Warren, Jonathan Spring, "Historical Analysis of Exploit Availability Timelines," Software Engineering Institute, Carnegie Mellon University, Aug 10, 2020.
6. "CISA Adds One Known Exploited Vulnerability (CVE-2022-26134) to Catalog," Cybersecurity and Infrastructure Security Agency, June 2, 2022.