NIST NVD の障害:CVE に紐づくはずのメタデータが提供されていない

NIST National Vulnerability Database Disruption Sees CVE Enrichment on Hold

2024/03/15 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) で、不可解なことが起こっている。それにより、数多くの組織が、脅威の影響を被りやすい状況へと陥る可能性がある。2024年2月12日以降において NIST は、NVD (National Vulnerability Database) 上のソフトウェア脆弱性の更新を、ほぼ完全に停止している。NVD とは、ソフトウェア脆弱性データベースであり、世界で最も広く利用されているものだ。


ファームウェア・セキュリティ・プロバイダー NetRise の CEO である Tom Pace は、「2月12日以降に公表された 2,700件 の CVE (Common Vulnerabilities and Exposures) のうち、内容が適切に記載されていたのは、僅か 200件だった」と、Infosecurity に語っている。

つまり、データベースに追加された 2,500 件以上の脆弱性の、CVE と紐づくはずの重要なメタデータなどが不十分な状態で、アップロードされていることを意味する。

現時点において、CVE の詳細ページには、下記の掲載されないままとなっている:

  • 脆弱性の説明
  • 悪用につながる可能性のあるソフトウェアの脆弱性 (CWE:Common Weakness and Exposure) 
  • 影響を受けるソフトウェア製品名
  • 脆弱性のクリティカリティスコア (CVSS) 
  • 脆弱性のパッチ適用状況
NVD 掲載情報の大幅な減少

この問題を最初に発見したのは、ソフトウェア・セキュリティ・プロバイダー Anchore の VP of Security である Josh Bressers だ。2月12日頃から NVD 上のエンリッチメント・データが大幅に減少していると、3月8日のブログ記事で、彼は指摘している。

Source: Anchore

また、Cisco Threat Detection & Response の Principal Engineer である Jerry Gamblin は、2023年と 2024年における、NVD 公開情報をグラフで公開している。そのグラフを観ると、以前と比べて 2024年は、情報が完全に文書化されていることを示す、“analyzed” ステータスを持つ CVE が大幅に減少している、その一方で、”awaiting analysis” ステータスの CVE が増加していることがわかる。

Source: Cisco

さらに、Gamblin と NetRise の投稿によると、CWE/CPE (Common Product Enumerators)/CVSS (Criticality Score) といった重要なメタデータを含む、CVE の公開数も同様に減少しているようだ。

新しい脆弱性が公表されているにもかかわらず、それらの情報と紐づく製品情報が掲載されていない。したがって、ユーザー組織は、どのような製品やシステムの環境に対して、新たに公表された脆弱性が影響を及ぼすのかが、分からないままになっている。

ソフトウェア・セキュリティ・プロバイダーの Chainguard の共同設立者/CEO である Dan Lorenc は、「NVD は、CVE に CPE マッチを追加することを完全にあきらめたようだ。つまり、NVD の CVE のエントリには、実際に影響を受けるソフトウェアのメタデータが含まれていないということだ」と、Infosecurity の取材にコメントしている。

この問題の最初の報告者である Anchore の Bressers は、3月13日にブログ記事のグラフを更新し、過去 30日間に公開された CVE のうち、情報が十分だったものは殆ど無かったと指摘している。

Source: Anchore
サイバーセキュリティ・コミュニティ全体に関わる深刻な問題

この問題が迅速に解決されないと、セキュリティ研究者たちのコミュニティや、世界中の全ての組織に、大きな影響が生じる可能性がある。

NetRise の Pace は、「つまり、どの OS/ソフトウェア/アプリケーション/ファームウェア/デバイスなどに、どのような脆弱性があるのかを解明するよう、サイバーセキュリティ・コミュニティ全体に求めている。それが、一夜にして始まってしまったということだ。まったく不可能で、手に負えない状況だ!」とコメントしている。

それには、Lorenc も同意しており、今回の件を「大問題」だとしている。

彼は、「現時点において我々は、CVE を可能な限り迅速に識別するために、業界のアラートとソーシャル・メディアに頼っている。スキャナ/アナライザなどの、多くの脆弱性ツールは、どのソフトウェアが、どの脆弱性の影響を受けているかを判断するのに、NVD に依存している。もしユーザー組織が、脆弱性を効果的に識別できなければ、リスクが増大する可能性があり、脆弱性の管理体制に大きなギャップが残ることになる」と述べている。

NIST からのヒントは新たな NVD コンソーシアム?

2月15日に NVD は Web サイトで、「NIST は NVD プログラムの課題に対処し、改善されたツールや手法を開発するために、現時点でコンソーシアムの設立に取り組んでいる。そのため、ユーザーの分析作業に影響をおよぼす可能性がある」と発表している。

これに対して、Aquia の社長である Chris Hughes は、「このメッセージは、セキュリティ・コミュニティにとって十分な情報を提供していない」と指摘している。

Hughes は、3月11日の Substack のニュースレター Resilient Cyber への投稿で、「一体、このコンソーシアムとは何なのか? 誰が参加するのか? どのような変更が加えられるのか? 最も広く使われている脆弱性データベースからの脆弱性分析において、どのような遅れが業界に生じるのだろうか?」とコメントしている。

NetRise の Pace は、NVD の発表を読んで驚いたという。彼は、「我々は、何年も同じプロセスを用いてきた。しかも、かなり効率的に脆弱性を開示し、充実させてきた。なぜ、今になってコンソーシアムが必要なのか?」述べている。

現時点において、NVD の Web サイトには、それ以上の情報は公開されていない。

Infosecurity は、NIST に対してだけではなく、CVEs の管理元である米国の非営利団体 MITRE にも問い合わせたが、現時点では、回答を得られていない。

NVD コンソーシアムの必要性を説明する仮説

このような NVD の混乱や、コンソーシアム設立の理由は、まだわかっていない。

Hughes によると、以前から NVD 関係者の間では、CPE に代わるものについて議論されてきたという。代替案として考えられるのは、Trusted Computing Group (TCG) と Internet Engineering Task Force (IETF) の両方がサポートするソフトウェア・タグ標準である、Software Identification (SWID) になる可能性がある。

しかし Hughes は、「SWID になる可能性は低い。業界をリードするフォーマットとして、すでに SWID は、SBOM (Software Bills Of Materials) をめぐる議論から除外されている。その代わりに、OWASP の CycloneDX と The Linux Foundation の SPDX が、SBOM フォーマットの議論の的となっている」と述べている。

さらに彼は、「ソフトウェア・パッケージや OSS (Open Source Software) が広く使われていることから、現在 “SBOM Forum’” というグループが、NVD に Package URL (PURL) を採用するよう求めているが、実現するかどうかは、まだ分からない」と付け加えている。

このような内部的な議論が、新たに結成されるコンソーシアムを中心に、NVD が再編成することの、後押しになったのかもしれない。

しかし Lorenc が批判しているのは、どのような理由があろうとも、NVD のコミュニケーションにおいて透明性が欠如しているという点である。また、セキュリティ・コミュニティが、NIST の運営チームを厳しく批判するのは、今回が初めてのことではないとも、彼は指摘している。

彼は、「特に、過去1年間にわたって、産業界で壊れた脆弱性エコシステムの修復に携わる人々から、NVD は多くの批判を浴びてきた。以前から NVD は、大きな可視性のギャップを解決してきたが、今では遅れをとっている。その結果として、他のリソースが登場しており、また、各国が独自のリソースの立ち上げを検討し始めている。それは、EU のサイバー・レジリエンシー法 (Cyber Resiliency Act) にも顕著に表れている」と述べている。

最近では、中国も脆弱性情報公開のエコシステムを更新したことが、Atlantic Council の分析で明らかになった。

米連邦政府が請負業者に NVD 適合を要求

この NVD の件と同時期に、Federal Risk and Authorization Management Program (FedRAMP Rev.5) の最新改訂版がリリースされた。FedRAMP とは、米国連邦法であり、連邦政府との取引を望む企業に対して、NVD を信憑性のある情報源として使用し、NVD 内の既知の脆弱性を全て修正することを義務付けるものだ。

Lorenc は、「政府の他の領域において、NVD の採用が強要される一方で、NIST が考えているのは、このプログラムの終了もしくは放棄であるように感じられる」と指摘する。

情報量の減少と同時に、NVD API にも、かつてない規模の問題が発生している。これを受けて、脆弱性インテリジェンス・プロバイダの VulnCheck は、VulnCheck NVD++ と呼ばれる、無料の代替ツールをリリースした。

Infosecurity は NIST と MITRE に問い合わせたが、現時点では、まだ回答は得られていない。

お隣のキュレーション・チームが、最近の NVD はおかしいと言っていましたが、この記事を訳してみて現状が見えてきました。VulDB も併用しているため、レポートには支障はないが、みなさんは、どうしているのだろうと心配していました。もともと、NVD の更新は遅れ気味でしたが、何かが破綻してしまったのでしょうか? 早く、正常に戻ってほしいと思います。よろしければ、NIST で検索も、ご利用ください。