CVEプログラム継続決定 - 停止時はどんな影響が想定されたのか?
米国政府の方針転換がリスクに、代替体制の議論が加速か
JPCERT/CCによると、これまでも「CVEプログラム」に代わる民間主導の識別子を作る動きがあったという。
2025年に入ってから、米国政府が大きな方針転換を進めるなか、CVEプログラムの将来を危ぶむ声や、代替を模索する意見、議論も行われており、そのような代替体制の議論も今回の出来事をきっかけに加速する可能性があると見ている。
CVE番号が普及した背景を考えると、プログラムに対する意見や提案を含め、垣根を超えて協力ができる基盤であることが重要であると指摘。運営者が誰であるかではなく、関係者がプログラム全体を支えていくことが望ましく、そのようなプログラム運営を期待していると話した。
またCVEプログラムの継続を目指す「CVE Foundation」の設立なども発表されているが、その点については情報収集の段階にあるとしてコメントを控えるとした。JPCERT/CCでは、現行の制度運営を引き続き進めつつ、関連する動きを注視し、日本政府や国内のCNA、製品開発者、研究者などへ情報を共有していくとしている。
(Security NEXT - 2025/04/18 )
ツイート
関連リンク
PR
関連記事
韓国関連グループの標的型攻撃が継続 - GitHub悪用でマルウェア展開
米当局、「WSUS」脆弱性で対象サーバの特定や侵害監視を呼びかけ
米当局、脆弱性悪用リストに「Oracle EBS」など5件追加
米当局、「AEM Forms」の深刻な脆弱性狙う攻撃に注意喚起
「Rapid7」「SKYSEA」など脆弱性5件の悪用に注意喚起 - 米当局
米当局、脆弱性5件の悪用に注意喚起 -10年以上前の「Shellshock」関連も
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
「Cisco IOS」や「sudo」など脆弱性5件の悪用に注意喚起 - 米当局
「Ivanti EPMM」狙う脆弱性連鎖攻撃、米当局がマルウェアを解析
「Sitecore」や「Linuxカーネル」の脆弱性悪用に注意喚起 - 米当局
