CVEプログラム継続決定 - 停止時はどんな影響が想定されたのか？

米国政府支援のもと非営利団体であるMITREが運営する共通脆弱性識別子「CVE（Common Vulnerabilities and Exposures）プログラム」の契約問題で期間延長が発表された。

契約期限直前に情報が錯綜し、プログラムが停止する影響に対する不安の声も見られたが、CVE番号を採番する実務を担うCNA機関は、今回の問題とどのように接していたのか。JPCERTコーディネーションセンターに同問題の状況や影響について話を聞いた。

MITREから停止リスクの事前通告なし。その後影響回避の連絡が

同センターによれば、関係者の書簡をきっかけに問題が急浮上することとなったが、サービス停止に関して、事前にMITREから正式なアナウンスなどは行われておらず、4月16日の報道を見て問題を把握し、情報収集を進めていたという。

その後、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）がサービス停止の回避をアナウンスしたが、同センターに対しても、4月17日にMITREから「CVEプログラム」や「CWE（Common Weakness Enumeration）プログラム」のサービス停止が回避されたとの通知が行われた。

MITREが進めてきたこれらプログラムについてJPCERT/CCは、国や地域、組織などの垣根を超え、相互の協力に基づいた活動として成り立っていると指摘。各プログラムのボードメンバーをはじめ、多くの人々が議論に参加し、さまざまな意見や提案が自由に行われてきたと話す。

プログラムの事務局には、中立性や公平性が求められ、関係者がバランスを保ちながら運営されており、今回の問題を通じてCNAなどのプログラムの参加組織は、「CVE」や「CWE」などの基盤の重要性をあらためて実感しているという。

（Security NEXT - 2025/04/18 ） ツイート

PR

関連記事

先週注目された記事（2025年4月13日〜2025年4月19日）
「CVEプログラム」のサービス停止を回避 - CISAがオプション期間を行使
LinuxカーネルのUSBオーディオドライバ脆弱性 - 攻撃の標的に
管理者権限奪われる「CrushFTP」脆弱性の悪用に注意喚起 - 米当局
先週注目された記事（2025年3月9日〜2025年3月15日）
侵入後に即攻撃するランサムウェア「Ghost」に注意 - 70カ国以上で被害
米当局、1月は14件の脆弱性悪用について注意喚起
2024年4Qのインシデントは約8％増 - 「FortiManager」脆弱性の侵害事例も
米当局、悪用されている脆弱性5件について注意喚起
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁