CVE-2024-12345Critical RCE in WidgetServer 3.xPublished: 2024-08-12CWE-78: OS Command Injection9.8CRITICALunique ID + severity + references

CVEシステム

11 最小読み取り安全

Heartbleed、Log4Shell、Spectre など、耳にするすべてのセキュリティ脆弱性には CVE 番号が付いています。 Common Vulnerabilities and Exposures システムは、ソフトウェアの欠陥を追跡するための世界的な命名規則です。 CVE とは何か、スコアリングの仕組み、システムが現在問題を抱えている箇所を理解すると、一部の脆弱性が注目を集める理由が明確になります。

記事全文は以下に英語で記載されています。

CVE (一般的な脆弱性と暴露) は、公開されているソフトウェアの脆弱性に名前を付けて追跡するための標準化されたシステムです。各エントリには CVE-2023-12345 (年 + シーケンス番号) のような一意の識別子が付けられ、研究者、ベンダー、ツールが業界全体で特定のバグを明確に参照できるようにします。基本的なフロー:

  1. A 脆弱性が見つかりました。
  2. 発見者は影響を受けるベンダー (または CVE 番号付け機関 (CNA)) に報告します。
  3. CNA は CVE ID を割り当てます。
  4. 脆弱性は最初に「予約済み」としてマークされます。ID は存在しますが、詳細はありません。 public.
  5. 脆弱性が公開されると(パッチが利用可能になるか、期限切れになると)、エントリに説明と参照が追加されます。
  6. エントリはMITRE CVEリストとNISTが管理するNational Vulnerability Database (NVD)に公開されます。

公開されるCVEの数は劇的に増加しています。 2015 年には年間最大 6,000 件、2024 年には年間 25,000 件以上。

CNA: CVE ID を割り当てることができる人

CVE 番号付け当局 は、その範囲内で CVE ID を割り当てる権限を与えられた組織です。例:

  • 主要ベンダー — Microsoft、Apple、Google、Oracle、Cisco、Red Hat — それぞれが自社製品に CVE を割り当てます。
  • オープンソース コーディネーター — Apache Software Foundation、GitHub Security Lab.
  • 業界固有 — 産業用制御用の ICS-CERT system.
  • 地域 — 日本は JPCERT/CC、ドイツは BSI。
  • MITRE 自体は、特定の CNA でカバーされていない脆弱性を対象とします。

2026 年の時点で、およそ 350 以上の CNA があります。システムは分散型です。すべての CVE が同じレビューを受けるわけではありません。

CVSS スコアリング

共通脆弱性スコアリング システム (CVSS) は、以下に基づいて 0 ~ 10 の数値重大度スコアを提供します。

  • 攻撃ベクトル — ネットワーク、隣接ネットワーク、ローカル、物理
  • 攻撃の複雑さ — 低または高
  • 必要な権限 — なし、低、高
  • ユーザーインタラクション — なし、必須
  • Scope — 変更なしまたは変更あり(エクスプロイトは別のセキュリティ機関に影響を及ぼしますか)
  • 機密性/完全性/可用性への影響 — それぞれなし、低、高

ベクトル文字列はこれらすべてをキャプチャします(例: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9.8)。最終スコアは次のように分類されます。

  • 0.0 — なし
  • 0.1-3.9 — 低
  • 4.0-6.9 — 中
  • 7.0-8.9 — 高
  • 9.0-10.0 — Critical

CVSS 4.0 (2023 年リリース) では、メトリクスが改良されています。多くのツールは依然として 3.1 を使用しています。

CVSS がキャプチャしないもの

スコアは反映されません:

  • 影響を受けるソフトウェアがどの程度広く展開されているか
  • パブリックエクスプロイトが存在するか
  • 脆弱性がアクティブであるかどうか悪用
  • あらゆる組織への具体的なビジネスへの影響

優先順位付けの出発点としてCVSSがありますが、十分ではありません。 CISA の既知の悪用された脆弱性 (KEV) カタログは、積極的に悪用されている CVE を特定します。これは、「すべての重要な CVE」よりも実用的なリストです。

2024 年の NVD 問題

伝統的に分析、CVSS スコアリング、CPE マッピングを CVE エントリに追加する NIST 全国脆弱性データベースは、初期に劇的に速度が低下しました予算と人員の問題により 2024 年になる予定です。未分析の CVE のバックログは数千件に増加しました。

この危機により、CVE.org が独自の役割を拡大し、Vulnrichment プロジェクトが不足している分析の追加を試み、さまざまな組織が代替データベースを作成するなど、複数の対応が求められました。状況は部分的に回復しましたが、中央インフラの脆弱性が明らかになりました。

有名な CVE 番号

  • CVE-2014-0160 — Heartbleed. OpenSSL メモリ開示.
  • CVE-2017-0144 — EternalBlue / WannaCry. Microsoft SMB の脆弱性が大量に使用ransomware.
  • CVE-2021-44228 — Log4Shell. Log4j JNDI インジェクション。大量搾取。 CVSS 10.
  • CVE-2014-6271 — Shellshock. Bash 環境変数の解析.
  • CVE-2023-23397 — Microsoft Outlook NTLM 認証情報の漏洩. ロシアの脅威による積極的な悪用Actors.
  • CVE-2024-3094 — XZ Utils バックドア. 2024 年の複数年にわたるソーシャル エンジニアリング サプライ チェーン攻撃.

CVE が意味するもの

一般ユーザーの場合、CVE 番号が表示されますin:

  • OS、アプリ、ブラウザのパッチノート
  • 主要な脆弱性に関するニュース
  • ベンダーからのセキュリティ勧告

実際的なポイント:ニュースで聞いたことのある CVE について言及した場合は、ソフトウェアに関連するアップデートがあるかどうかを確認してください。 「アップデートが利用可能」というのがほとんどのユーザーにとって普遍的な答えです。より詳細な調査は、フリート管理の責任者向けです。

開発者とセキュリティ チームにとって、CVE 追跡、KEV を意識した優先順位付け、および SBOM 主導の暴露評価は、現在標準的な運用の一部です。

よくある質問

すべての脆弱性には CVE が適用されますか?
公開されているほとんどの脆弱性、特に広く導入されているソフトウェアの脆弱性は CVE の対象となります。カスタム アプリケーション、内部システムの脆弱性、公開前に修正されるバグは、CVE を取得できないことがよくあります。このシステムは、世間の注目を集める内容の大部分をカバーしています。
MITRE と NVD の違いは何ですか?
MITRE (CVE.org) は、CVE リスト (識別子の割り当てと基本的な説明) を管理しています。 NVD は、CVSS スコアリング、影響を受ける製品マッピング (CPE)、参照などの分析を追加します。どちらも公開されています。多くの場合、ツールは両方を消費します。
高い CVSS スコアは常に実用的ですか?
必ずしもそうとは限りません。使用しないソフトウェアの CVSS 10 は、あなたにとって無関係です。積極的に悪用されている CVSS 5 は、悪用が知られていない CVSS 9 よりも緊急性が高くなります。 CISA の KEV カタログは、深刻度とエクスプロイトの現実性を組み合わせて、より適切な優先順位付けを実現しています。
一部の CVE が詳細なしで予約されているのはなぜですか?
予約済みステータスは、ID は割り当てられていますが、脆弱性はまだ公開されていないことを意味します。ベンダーはパッチ開発期間中に内部で脆弱性について話し合うために ID を予約し、公開が行われたときにエントリを入力します。
ソフトウェアに影響を与える CVE を見つけるにはどうすればよいですか?
ベンダーのセキュリティ勧告には、関連する CVE がリストされています。 nvd.nist.gov の NVD 検索は、ベンダー/製品別に検索します。 Snyk、GitHub dependabot、OS パッケージ マネージャーなどのツールは、依存関係ベースの CVE 追跡を自動的に実行します。
CVE システムの説明: 世界が脆弱性を追跡する方法