NIST の脆弱性データベースの凍結：その将来に投げかけられる疑問とは？

NIST’s Vuln Database Downshifts, Prompting Questions About Its Future

2024/03/22 DarkReading — 2005年から NVD (National Vulnerability Database) は、世界中のセキュリティ研究者が発見した膨大な CVE (Common Vulnerabilities and Exposures) に関する、詳細情報を掲載してきた。しかし、この政府が後援する、重要かつ不可欠なデータベースが、2024年2月以降においては、ほぼ無意味なツールと化している。

NVD は自身の Web サイトに「米国標準技術局 (NIST：National Institute of Standards and Technology) が改良されたツールや方法を導入するため、ユーザーの分析作業に一時的な遅れが生じる」という、非常に不可解なアナウンスを掲載し始めている。そして NVD からは、それ以上の説明や情報は提供されていない。

NIST NVD のページは、完全に停止したというわけではなく、今でもごく一部の CVE が文書化されている。しかし、その更新頻度や情報量は低下しているため、企業のセキュリティ・マネージャーは、新たな脅威を常に自発的に収集する必要に迫られている。

CVE モデルは、脅威を収集する 365 のパートナーで構成されている。パートナーの約半数は米国を拠点としており、彼らが所属する分野は、ソフトウェア・ベンダー／バグ・バウンティ事業者／民間調査会社などの多岐にわたる。それぞれのパートナーは、新しい項目がユニークであることを保証するために、注意深いスキーマに従いながら、新しい脅威を投稿する。2024年に入ってからは、6,000 件以上の CVE が、新たに追加されている。

NVD の詳細ページに掲載されている情報は、脅威アクターからの攻撃を防ぐために、企業のセキュリティ管理者や、数多くの脆弱性管理ツールに重宝されてきた。しかし何らかの原因により、新たに追加された CVE の半数近くについては、NVD による詳細情報が記載されなくなっている。

このようなツールの一つとして、Tenable の脆弱性スキャナー Nessus がある。同社の研究者たちによると、NIST NVD における脆弱性ごとの情報が判断基準となり、対象となる脅威の重要度や、早急なパッチ適用の必要性が評価されるという。また、幅広いアプリケーションやオペレーティング・システムに対する、影響の可能性も算定されるという。

Chainguard の CEO である Dan Lorenc は、2月に LinkedIn に投稿した記事で、「新たに追加された CVE には、どのソフトウェアが実際に影響を受けるかという、メタデータが含まれていないため、重大な問題が生じている。さらに NIST が、この問題に関して、何の声明も出していないことは、由々しき事態だ」と述べている。

その一方で Anchore の Josh Bressers も、「NVD のデータは、国家的に重要なデータセットだ。誰も何も知らないのだから、もっと明確な情報が、NIST から開示されるべきだ。未だに、全てが謎のままだ」と、この状況について 3月8日のブログに投稿している。

Dark Reading は、NIST の代表者にコメントを求めたが、回答は得られていない。

NIST は、2024年2月にサイトを凍結する以前において、それぞれの CVE に関連するメタデータを定期的に更新していた。脆弱性が発見されてから、NVD エントリ情報が更新されるまでに、数週間から数カ月かかることもあった。Tenable の研究者たちは、「NIST による CVE 情報の更新を待つのは危険だ。新規の CVE は年々増加しており、ソフトウェア・ベンダーは、より完全な CVE レコードを提供するよう求められている」と述べている。つまり、誰かが、この遅れを取り戻す必要があるということだ。

セキュリティ・ツール・ベンダーの Morphisec は、3月の初めに NVD の状況を説明するブログ記事を発表した。同社の CTO である Michael Gorelik は、「小規模な組織は、常にパッチの更新に目を光らせている。NVD メタデータの欠如は、その価値を失わせ、全体的なセキュリティを低下させることを意味する。特にランサムウェアが蔓延している現状において、ビジネスに対する潜在的な影響は避けられないだろう。言い換えるなら、この問題は、生成 AI がもたらす脅威よりも、大きな問題だ」と述べている。

Netrise の CEO である Tom Pace も、「現状では、それぞれの脆弱性が、どのような影響を及ぼすのかが分からなくなっており、良い状態ではない。このデータセットは、世界中の多くの人々からの信頼を得ている。NVD のサイト凍結は、パッチを当てることを、より困難にし、より遅くする。つまり、企業ネットワークへの侵入経路を、脅威アクターが見つける時間が増えるということだ」と指摘している。

解決策１：MITRE が このギャップを埋める？

NIST は、NVD に対する責任を持つ機関かもしれないが、その背後にある実際の作業成果物の大部分は、有名な防衛関連の請負業者である MITRE によるものだ。Pace は、「なぜ MITRE は、この遅れを取り戻さないのか？その元凶は、技術的な問題ではなく、NIST における人手不足だ」と非難している。つまり、MITRE が、その使命を果たさず、セキュリティ・チームを適切に配置していないと批判しているわけだ。

DarkReading は、MITRE に対して詳細な情報を求めた。しかし、同機関の担当者は、「現時点において MITRE は、この話題について話すことはできない」と、回答を拒否した。

民間企業が、NVD の代替品の開発に取り組んでいる。そのため、あるセキュリティ・コンサルタントは LinkedIn で「 NVD は修正できないので、待つのは諦めて、CVE と一緒に修正するしかない。米国政府は、この問題を解決するつもりはなく、解決策は民間セクターが主導しなければならない」とコメントしている。

民間企業による代替品には、VulnCheck によるオープンソース NVD++ や、Google／SonarSource／GitHub／Snyk などのベンダーによる Open Vulnerability Database (OVD) がある。これらのツールはいずれも、脆弱性データの自動クエリをさらに充実させたいという、NVD ユーザーの不満から生まれている。NIST NVD は、それからのクエリに対してレート制限を課していたが、NVD++ と OVD により撤廃されている。しかし、NIST NVD から、いずれかのコレクションに切り替えることは、プログラミングの労力とテスト時間が必要になるため、容易なことではない。

数十年の間に作られたデータ収集ツールは、他にもある。Tenable／Qualys／Ivanti などのセキュリティ・ベンダーは、攻撃防止に役立つメタデータの詳細などを取り込んだ、独自の脆弱性コレクションを作成している。また、いくつかのオープンソースによる取り組みもある。それらは、何年も前から進められていたが、NVD のサイトが凍結したことで、注目を浴びるようになった。

また、中国では、いくつかの政府機関が団結して、独自の脆弱性データベースを持とうとしている。しかし、NVD やオープンシステムの典型的な取り組みである、PoC エクスプロイト情報が提供されないといった、公開される内容に関する制約が存在する。それについて研究者たちは、それらの脆弱性の武器化につながり、中国におけるゼロデイ攻撃の増加へと発展する恐れがあるからだと推測している。

解決策２：NVD の新しいコンソーシアム

NVD の Web サイトに掲載されている情報では、データベースを運営するコンソーシアムの存在が挙げられている。しかし、セキュリティ研究者たちは懐疑的だ。この声明は、この取り組みに参加する組織／個人などの、具体的な情報に乏しい。Pace は、「我々は何年も同じプロセスで、しかも、かなり効率的に脆弱性を公開し、充実させてきた。なぜ、今になってコンソーシアムが必要なのか？」と述べている。その一方で Bressers は、「コンソーシアムは可能だが、NVD を継承する有用な組織を作るには、細部に危険が伴う。脆弱性は、指数関数的な成長を続けているため、どのようなソリューションも、それに応じて拡張する必要がある」と指摘している。

最後になる、NVD の凍結における、もう一つの問題は、連邦政府の複数のセクションからの要件に反していることにある。Federal Risk and Authorization Management Program の最新版である Rev.5 では、連邦政府の請負業者は、脅威の権威ある情報源として NVD を使用することが義務付けられている。Lorenc は、「NISTは、政府の他の部署が、このプログラムの採用を強行する一方で、どうにかして、このプログラムを終了させるか、引き継がせようとしているように感じられる。何が起こっているのだろうか？」と述べている。

3月25日から3月27日にかけて、ノースカロライナ州ローリーで、脆弱性研究者たちが集う VulnCon カンファレンスが開催される。そこで NVD Symposium が予定されている。おそらく詳細は、その時に明らかになるだろう。

なんというか、とても困った状況ですね。なにかの問題が、NIST 内で、もしくは、米政府内で起こっているだろうと思われます。１週間前の 2024/03/15 に、「NIST NVD の障害：CVE に紐づくはずのメタデータが提供されていない」をポストしていますが、この間に何かが解決したという状況は見られず、むしろ混迷を深めているように見えてしまいます。よろしければ、NIST で検索も、ご利用ください。