脆弱性とはシステムやプログラムに穴があるということです。そこから何者かが侵入して悪さをする恐れがあるわけですから、脆弱性についての情報は安全なシステムやプログラムを構築する上で、また、それらプログラムやシステムを利用する人にとっても極めて重要です。しかし、攻撃をしようとしている人たちにとっても有益な情報になり得ますから、脆弱性情報の取り扱いは慎重であるべきです。脆弱性情報はどのようにして取り扱われているのでしょうか?
世界の158組織がCVE番号を割り当てている
CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。これはマイクロソフトエクスチェンジサーバーに最近見つかった重大な4つのゼロディの脆弱性に割り当てられた番号です。CVEは共通脆弱性識別子(Common Vulnerabilities and Exposures)の略で、登録年と割り振られた番号によって構成されています。CVEは1999年にアメリカ政府向けの技術支援や研究開発を行う非営利団体のMITRE Corporationによって提案され、MITRE Corporationがアメリカ政府の支援を受けて管理しています。
見つかった脆弱性をCVEに登録する方法は2種類あるということです。1つは報告者としてMITRE Corporationに申請をする、もう1つはMITRE Corporationから認定を受けている機関が必要な確認をしてMITRE Corporationから配分されている番号を振って登録する方法です。MITRE Corporationから認定を受けて採番をする機関をCNA(CVE Numbering Authorities)と呼び、CNAは今年3月15日現在、26の国・地域で158組織にのぼっているということです。CVEは世界共通の脆弱性データと言うことができるのではないかと思います。日本国内でCNAの認定を受けている組織はJPCERT/CCやトレンドマイクロなどがあり、昨年12月にはLINE株式会社と三菱電機株式会社がCNAに認定され、日本のCNAは現在5組織だということです。
CVEは、MITRE Corporationが中心となって世界各国のCNAとともに構築している脆弱性情報のデータベースになりますが、アメリカにはCVEとは別にNVD(National Vulnerability Database)と言う脆弱性データベースがあります。NVDはアメリカ国立標準技術研究所(NIST)が管理しており、また、CVEの情報はNVDに同期されるということです。NVDはCVEデータをもとに共通脆弱性評価システムCVSSによる脆弱性の評価を行っています。IPA(情報処理推進機構)によると、CVSSは、脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指してアメリカの国家インフラストラクチャ諮問委員会(NIAC)のプロジェクトとして2004年10月に原案が作成されました。脆弱性の深刻度を同一基準の下で定量的に比較することが出来るシステムだということです。
CVEと連携している日本の脆弱性データベース
日本国内にもJVN(Japan Vulnerability Notes)という脆弱性データベースがあり、JPCERT/CCとIPA(情報処理推進機構)が共同で運営しています。日本国内での脆弱性の取り扱いは、経済産業省の告示にもとづき策定された情報セキュリティ早期警戒パートナーシップガイドラインにより運用されており、脆弱性情報を受け付ける機関としてIPA、製品開発者への連絡や公表に関する調整を図る機関としてJPCERT/CCが指定されています。IPAによると、IPAとJPCERT/CCはCVEの互換認定を受けていることからIPAとJPCERT/CCが運用している脆弱性データベースJVNはCVEとの相互参照や関連付けが可能なデータベースだということです。国内における脆弱性情報は脆弱性の発見者がIPAに届け出を行い、これをIPAがJPCERT/CCに通知。JPCERT/CCが製品開発者に連絡をし、製品開発者が脆弱性の検証や対策を講じた上で、脆弱性情報の公開が行われ、JVNに登録されるとともにCNAであるJPCERT/CCなどによりCVEの採番が行われてCVEに登録される流れのようです。
マイクロソフトエクスチェンジサーバーの重大なゼロティの脆弱性については台湾のセキュリティコンサルティングのDevCore社が発見し今年1月5日にマイクロソフトに通知をしたことを前回の記事で書きました。マイクロソフトはCVEの採番機関であるCNAでもあることから、脆弱性について検証し対策を講じた上で3月2日にCVEに脆弱性登録を行って公表に至り、それがCVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065という4つの脆弱性だということです。この間、この脆弱性を悪用したエクスプロイト攻撃が行われていたことをマイクロソフトは明らかにしています。パロアルトネットワークスのUnit42によると、攻撃が今年1月3日には行われていたこと示す報告がアメリカを拠点とするセキュリティ企業、Volexityにより行われており、同社は2月2日にマイクロソフトインフォメーションに1月6日に発生した同様の攻撃について報告をしているということです。
■出典
https://www.ipa.go.jp/security/vuln/CVE.html
https://www.ipa.go.jp/security/vuln/CVSS.html
https://blogs.jpcert.or.jp/ja/2020/12/cna-2cna.html
https://cve.mitre.org/cve/cna.html#why_become_a_cna_few_requirements
https://cve.mitre.org/about/cve_and_nvd_relationship.html
https://www.ipa.go.jp/security/vuln/report/
https://www.ipa.go.jp/files/000073901.pdf
https://cybersecurity-info.com/column/microsoft-exchange-server-the-essence-of-the-problem/