中国における脆弱性管理:戦略的な遅延による情報ギャップが CVE の武器化を促す?

Beyond CVE China’s Dual Vulnerability Databases Reveal a Different Disclosure Timeline

2026/02/19 CyberSecurityNews — 中国における独自の脆弱性公開エコシステムの台頭が、グローバルな脅威環境に複雑な層を加えている。国際的に使用されている集中型 CVE システムとは異なり、中国では CNVD と CNNVD という 2 つの独立したデータベースが維持されている。この両者には、公開タイムラインと優先順位において違いがある。この二重構造により、西側の防御側から可視化されない脆弱性が、長期間にわたり静かに存在するという状況が生じている。

主たる攻撃ベクターは、情報の非対称性にある。脆弱性情報の公開が遅延すると、Microsoft OneDrive などのメジャー・ソフトウェアのセキュリティ・ギャップに対して、グローバルなパッチ・サイクルが回りだす前に、脅威アクターたちによる悪用が始まってしまう。

この公開ギャップの影響は、修正すべき脆弱性の優先順位の決定においてタイムリーな情報を必要とする、エンタープライズのセキュリティ・チームにとって重大である。

中国のデータベースで脆弱性が公開されてから数カ月後に、米国の National Vulnerability Database (NVD) に掲載される場合には、実際に進行中の脅威を認識できない中で、ユーザー企業は攻撃にさらされることになる。

たとえば、Microsoft OneDrive の DLL ハイジャッキングの脆弱性は、国際的な CVE 文書化よりもかなり以前に、中国のシステム上に登録されていた。

この遅延が攻撃者に与えるのは、”Red Vulns” を武器化する時間である。この情報ラグを悪用することで、標準的な検知プロトコルを回避し、侵害したネットワーク上で永続化を確立できる。

両エコシステム間の公開タイムスタンプを包括的に比較する中で、Bitsight のアナリストたちにより、この差異が特定された。

Example entries for CNNVD and CNVD respectively (Source - Bitsight)
Example entries for CNNVD and CNVD respectively (Source – Bitsight)

同社の研究によると、CNNVD は概ね MITRE CVE リストを反映している。その一方で CNVD は独自エントリと独立タイムラインで運用されることが多い。

Growth of CNVD and CNNVD from earliest publication date (Source - Bitsight)
Growth of CNVD and CNNVD from earliest publication date (Source – Bitsight)

CNVD および CNNVD の成長推移が示すのは、中国当局が追跡する脆弱性件数が、グローバル基準と同等に拡大していることだ。

しかし、重要なのは件数ではない。その公開プロセスに、戦略的なレイテンシが導入されている点である。それが意味するのは、脆弱性情報が公共財ではなく、国家のセキュリティ資産として扱われていることだ。

戦略的な公開の遅延

このエコシステムで最も懸念されるのは、高深刻度の脆弱性において、詳細の公開が体系的に遅延される点である。それが永続化することで、新たなエクスプロイトの感染メカニズムが事実上覆い隠されてしまう。グローバル防御側は、初期段階攻撃を検知するために必要な Indicators of Compromise (IOC) を入手できない。

Arcs of delays between open and submission times when the delay is more than a week (Source - Bitsight)
Arcs of delays between open and submission times when the delay is more than a week (Source – Bitsight)

脆弱性の提出から公開までの “遅延アーク” は、機密性の高い情報が秘匿されるパターンを可視化している。

さらに CNVD エントリの大部分は、即座には CVE と直接マッピングされない。これにより、セキュリティ欠陥の “シャドウ” インベントリが形成される。

それに加えて、重大度分布の比較では、国ごとにリスク評価が異なる場合があることも示されている。

対策として、セキュリティ・チームは脅威インテリジェンス・ソースを拡張すべきである。NVD のみに依存せず、これら国際データベースも取り込むことで、より包括的な脅威状況を把握する必要がある。

CVE / IDVulnerability NameSeverityKey Observation
CVE-2024-33698Generic VulnerabilityHighMapped to CNVD entry; published later in CVE.
CNVD-2024-xxxxxOneDrive DLL HijackingHighVaguely similar to CVE-2021-40444 but published earlier.
CNVD-202-35587Bitcoin Core DoSMediumExample of “Event-based” vulnerability in CNVD.
CVE-2021-40444MSHTML RCECriticalUsed as a reference point for delay analysis.

今回指摘されている問題の原因は、中国の CNVD/CNNVD と国際的な CVE/NVD との間に存在する公開タイムラインの差異です。特に CNVD では独自エントリや公開遅延が発生し、高深刻度の脆弱性情報が国際的に共有されるまでに時間差が生じます。その結果、Microsoft OneDrive などの欠陥が西側で可視化される前に、攻撃者が武器化する余地が生まれます。情報の非対称性と戦略的レイテンシが、防御側の優先順位判断を困難にしている点が根本要因です。よろしければ、中国 + 脆弱性 + SCMP での検索結果も、ご参照ください。