脆弱性データベースの危機、
「米国頼み」の脆弱性が露呈

毎日、数十億人が通信、商取引、そして重要インフラまで、あらゆるものの運用においてデジタル・システムを信頼している。しかし、セキュリティチームに危険なソフトウェアの脆弱性を警告するグローバルな早期警戒システムには、重大なカバレッジの欠陥が明らかになっており、大半のユーザーは、自らのデジタルライフがかつてないほど脆弱になりつつあることに気づいていない。

この18カ月間、グローバルなサイバーセキュリティの二本柱が崩壊の危機に直面してきた。1つは、米国が支援し、世界中のセキュリティ脅威に関する分析で広く利用されている無償の「国家脆弱性データベース（NVD：National Vulnerability Database）」である。このデータベースは2024年2月、「政府機関間の支援体制の変更」という曖昧な理由により、新規エントリーの公開を突如停止した。

その2カ月後の今年4月には、ソフトウェアの脆弱性を追跡するための基本的な識別体系である「共通脆弱性識別子（CVE：Common Vulnerabilities and Exposures）」プログラムも同様の危機に直面した。漏洩した書簡では、CVEプログラムを支える米国政府との契約がまもなく満了することが警告されていた。

この事態以降、サイバーセキュリティの実務者たちは、ディスコード（Discord）チャンネルやリンクトイン（LinkedIn）のフィードに緊急投稿を連ね、「NVD」や「CVE」が墓石に刻まれたミームで溢れ返った。未修正の脆弱性は、サイバー攻撃者が侵入する手段として2番目に多く、過去には病院の致命的な停電や最重要インフラの機能停止を引き起こしてきた。米国在住のサイバーセキュリティの専門家であるジェン・イースターリーは、ソーシャルメディアへの投稿で次のように述べている。

「CVEを失うということは、すべての図書館から一斉にカード目録を引き抜くようなものです。防御側が混乱を整理している間に、攻撃者が完全に優位に立つことになります」。

CVEが脆弱性をカード目録の本のように識別するものだとすれば、NVDのエントリーは、それらの深刻度、影響範囲、悪用可能性に関する詳細な分析を提供するものである。

結局のところ、CISA（サイバーセキュリティ・インフラセキュリティ庁）は今回の問題を「契約管理上の課題」と説明し、CVEへの資金提供を1年間延長した。一方で、NVDの事情はより複雑である。その管轄機関である米国国立標準技術研究所（NIST）は、2024年に予算が約12％削減されたと報じられており、これはCISAがNVDへの年間370万ドルの資金提供を停止した時期と重なっている。その後、未処理の案件が増える中、CISAは「Vulnrichment（脆弱性強化）」プログラムを独自に立ち上げ、複数の認定パートナーが詳細なデータを公開できるような分散型アプローチを推進した。

「CISAは、新たに開示された脆弱性に対して、組織がリスクを軽減するために限られたリソースをどう最も効果的に活用できるかを常に評価しています」。同庁の脆弱性管理担当副部長であるサンディ・ラデスキーは述べる。ラデスキーは、Vulnrichmentの狙いは単に空白を埋めることではなく、特定の関係者に対する推奨対応など、独自の追加情報を提供することであり、「脆弱性の詳細情報を連邦政府が唯一提供するという依存状態を減らす」ことにあると強調している。

一方、NISTはバックログ（未処理の脆弱性情報）の解消を図るため、外部業者の緊急雇用に乗り出している。処理能力は危機前の水準に戻ってはいるが、NVDに報告される新たな脆弱性の急増がそれを上回っている。ソフトウェア企業アンカー（Anchore）のデータによれば、現在、2万5000件を超える脆弱性が処理待ちとなっており、これは2017年の過去最高件数のほぼ10倍に相当する。それ以前は、NVDはCVEの公開とほぼ同時に分析を完了し、バックログはごくわずかだった。

「状況は混乱しており、あらゆる側面で変化の時期を迎えています」。NIST情報技術研究所のコンピューター・セキュリティ部門の元部長であるマシュー・ショールは、今年4月の業界イベントでこう述べた。「指導部は、NVDがNISTの使命において優先事項であり、今後もリソースと能力の両面でそれを維持すると、私や職員に保証してくれました」。NISTに20年間勤務したショール部長は今年5月に退職し、NISTはバックログに関するコメントを控えている。

こうした状況を受けて、現在では複数の米政府機関が対応に乗り出している。商務省は5月にNVDの監査を開始し、下院民主党も6月に両プログラム（NVDおよびCVE）に対するより包括的な調査を要求した。しかし、すでに信頼は失墜しており、その影響は地政学やサプライチェーンにも及んでいる。セキュリティチームは、次なるサイバーリスクの時代に備え始めている。

「今回の事態は悪い印象を残しました。そして今、人々はもうこれらに頼ることはできないと気づき始めています」。企業向けの脆弱性管理プログラムの構築と運用を担当するセキュリティの専門家、ローズ・グプタは語る。「仮に明日、予算が大幅に増えて体制が整ったとしても、同じような事態が再び起きない保証はどこにもありません。だからこそ、他の管理策も確実に講じておく必要があります」。

このように、公的リソースが機能不全に陥る中で、組織や政府はデジタルインフラに潜む重大な弱点と向き合うことを余儀なくされている。つまり、グローバルなサイバーセキュリティにおける重要サービスが、米国内の複雑に絡み合った政府機関間の利害関係と、予告なく削減・変更される可能性のある政府資金に依存しているという現実である。

セキュリティの有る者と無い者

インターネット黎明期においては、ソフトウェアの脆弱性はわずかな流出に過ぎなかったが、現在では止まらない雪崩のように増加し続けており、これを数十年にわたり追跡してきた無料データベースは対応に苦慮している。7月初旬、CVEデータベースに登録された脆弱性の数は30万件を突破した。脆弱性の発見数は毎年予測不可能な勢いで増加し、ときには前年比で10％以上増えることもある。NVDは最新の危機が始まる以前から、新たな脆弱性の分析公開が遅れて …

人気の記事ランキング

1. How to run an LLM on your laptop チャットGPTからの卒業：自分のパソコンでLLMを動かしてみよう
2. Promotion MITTR Emerging Technology Nite #34 【9/10開催】伝説の玩具「アームトロン」開発者が誕生秘話を語る
3. Apple AirPods : a gateway hearing aid お値段10分の1のAirPods補聴器はどれぐらい使える？
4. On the ground in Ukraine’s largest Starlink repair shop ＜現地ルポ＞ウクライナの 生命線「スターリンク」 1万台超を直した非公式工場
5. Should AI flatter us, fix us, or just inform us? 迷走したチャットGPTの人格設計、問われる人間との距離感