CISAの11カ月延長でCVEプログラム早期終了の危機を回避
(csoonline.com)- DHSの資金契約満了により、MITREのCVEプログラムは2025年4月16日午前0時に停止しかねなかったが、CISAが契約のオプション期間を行使して空白を防いだ
- 延長期間は情報筋によれば11カ月で、CISAはCVEをサイバーコミュニティの中核サービスであり、機関の優先事項と見ている
- CVEとCWEプログラム運営のための追加資金が4月16日午前に確認され、予定されていたサービス停止は回避された
- CVEは脆弱性の識別と管理における事実上の標準であり、NVD、CISAのvulnrichment、セキュリティベンダー製品、CERT、企業の脆弱性データベースが依存する基礎データである
- 契約満了の原因は明確ではなく、実際に停止していれば新しいCVEレコードの追加が止まり、既存レコードはGitHubで提供される予定だった
CISAの緊急延長で停止を回避
- MITREのCommon Vulnerabilities and Exposures、つまりCVEプログラムは、DHSとの契約が2025年4月16日午前0時に満了する予定だった
- CISAが契約のオプション期間を行使したことで、MITRE CVEプログラムのサービス停止は発生しないことになった
- CISAは、CVEがサイバーコミュニティにとって非常に重要であり、同機関の優先事項だと述べた
- 中核的なCVEサービスに空白が生じないよう、契約のオプション期間を行使したという立場だ
- 情報筋によれば、契約延長は11カ月続く
- MITREのYosry Barsoumは、政府の措置によりCVEプログラムとCommon Weakness Enumeration、つまりCWEプログラムの停止を回避したと述べた
- 2025年4月16日午前時点で、CISAがプログラム運営を維持するための追加資金を確認した
- MITREは、CVEとCWEをグローバルなリソースとして維持する方針を保っている
当初予定されていた契約満了と影響
- 2025年4月15日時点でMITREは、DHSとの契約が満了すればCVEデータベース維持の資金が途絶えるとCVEボードに通知した
- 満了対象には、MITREがCVEプログラムを開発・運営・近代化する作業と、関連プログラムであるCWEプログラムが含まれる
- Rand CorporationのSasha Romanoskyは、CVEの命名とソフトウェアパッケージ・バージョンごとの割り当てが、ソフトウェア脆弱性エコシステムの基盤だと評価した
- CVEがなければ、新たに発見された脆弱性を追跡しにくくなる
- 深刻度のスコアリング、エクスプロイト予測、パッチ適用の意思決定も揺らぎかねない
- BitsightのBen Edwardsは、CVEは必ず資金支援を受けるべき価値あるリソースであり、契約を更新しないのは誤りだと評価した
- CVEの連合型フレームワークとオープン性のおかげで、他の利害関係者が運営を引き継ぐことは可能だ
- ただし運営主体が変われば、移行プロセスは困難になり得る
CVEが脆弱性エコシステムで担う役割
- MITREのCVE programは、グローバルなサイバーセキュリティエコシステムの基礎的な柱であり、脆弱性の識別と防御側の脆弱性管理プログラムを導く事実上の標準である
- CVEデータは、脆弱性管理、サイバー脅威インテリジェンス、セキュリティ情報、イベント管理、エンドポイント検知・対応分野のベンダー製品に基礎データを提供する
- NISTはNational Vulnerability Database、つまりNVDを通じてMITREのCVEレコードに追加情報を補強している
- CISAもNVDプログラムの資金不足に対応し、vulnrichmentプログラムでMITREのCVEレコードを補強してきた
- MITREはCVE recordsの原著者であり、セキュリティ上の欠陥を識別する主要な情報源として機能している
停止時に予想されていた連鎖効果
- Security ErrataプロジェクトのCSOで元CVEボードメンバーのBrian Martinは、MITREの資金がなくなれば、グローバルな脆弱性管理に即時の連鎖効果が生じると見ている
- 連合型モデルとCVE Numbering Authorities、つまりCNAは、もはやIDを割り当てて情報をMITREに送り、迅速に公開することができなくなる
- NVDはCVEを基盤としており、すでに30,000件を超える脆弱性のバックログと、80,000件を超える「deferred」項目を抱えている
- 「deferred」は、現時点では完全には分析されない項目を意味する
- 独自の脆弱性データベースを運営する企業も、代替となるインテリジェンス情報源を探す必要がある
- 中国やロシアを含む国家の脆弱性データベース、世界中の数百から数千に及ぶ国・地域のCERT、CVE/NVDに依存する企業の脆弱性管理プログラムにまで影響が及び得る
契約終了の原因と政府予算の状況
- DHSが25年間資金提供してきたCVEプログラム契約をなぜ終了しようとしたのかは明確ではない
- トランプ政権は、Elon MuskのDepartment of Government Efficiencyイニシアチブを中心に、政府支出を全般的に削減してきた
- DHSはCISAを通じてMITRE CVEプログラムに資金を提供してきており、CISAはすでに2度の資金削減を経験している
- 報道によれば、CISA職員のほぼ40%に当たる約1,300人が、依然として解雇対象になっている
- 情報筋は、連邦政府の他部門で行われた予算削減と比べれば、CVEプログラムの運営費用は小さく、「財政を破綻させる」水準ではないと伝えている
民間の代替策と暫定対応
- 契約延長がなければ、2025年4月16日午前0時からMITREはCVEデータベースに新しいレコードを追加しない予定だった
- 既存のCVEレコードはGitHubで提供される予定だった
- VulnCheckのPatrick Garrityは、NIST NVDの前年度の失敗以降、脆弱性エコシステムは脆くなっており、CVEプログラムへの影響は防御側とセキュリティコミュニティに有害になり得ると見ている
- VulnCheckは、MITREまたはCVEプログラムのどのサービスが影響を受けるか不確実な状況で、2025年のCVE 1,000件を先行して予約した
- CISAは、CVEは政府と産業界が技術的脆弱性を公開・分類・共有するために使われ、国家の重要インフラを危険にさらし得る脆弱性情報にも関係すると述べた
1件のコメント
Hacker Newsの意見
関連して進行中のスレッドがある: CVE Foundation - https://news.ycombinator.com/item?id=43704430、Replacing CVE - https://news.ycombinator.com/item?id=43708409
MITREとの契約が延長された: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
おそらく無期限延長だと思う。DOGEは愚か者の集まりかもしれないが、DOD全体には愚かではない人たちもいる
気づいたかどうか分からないが、彼らはゼロベース予算方式で動いている。いったん全部切って、本当に重要なものだけ戻す。まず切ってから質問するやり方だ
MITREがDoDの契約業者である点も重要だ。CVEプログラムを米軍資金で運営される会社が担うことは、中立性と世界的な信頼に依存するエコシステムにおいて利益相反の懸念を生みうる
最近は、元のタイトルの末尾に [fixed] を付けて、状態の変化を読者に知らせる方法を試している。最善かどうかは分からないし、本当に解決した状況なのかも確かではないが、何もしないよりはましに見える。既存スレッドの記事とタイトルを変えるのは、かなりのだまし討ちのように感じられかねない
契約は今日失効したが、2026年3月までのオプション期間があり、DHSがそのオプションを行使しさえすればよかった
追記: 契約終了日は今日4月16日なので、オプションが行使されていなければ、今日の午前0時に業務は停止していたはずだ。政府契約ではこういうふうに土壇場まで行くことはよくあり、オプション行使が遅れることも多い。ではなぜ今回だけこんな騒ぎになったのか。CISAがMITREに、オプションを行使しないつもりだと示唆したのだろうか?
こういうことは起きてほしくなかった。DHS内部のどんな縦割り構造のせいで、欠点が十分に大きいと見なされなかったのか気になる
この分野の専門家の誰も、「潰していい、必要ない」と強く主張したとは思えない。聞かれていれば、「頼むから触らないでくれ、これは必要だ」と強く言ったはずだ
ただし、高位の財務担当者たちが「直接調査」をする中で、他の人たちがCVEをどう使い、誰が資金を出しているのかを誤解した可能性はありそうだ
https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
そしてそのほかにも非常に多い。数カ月にわたって完全な惨事であり、この時点ではアプローチを急激に変えようとしているのかもしれない
これらすべては現政権の犯罪的行為だ
CVE理事会メンバーの連合が、「Common Vulnerabilities and Exposures(CVE)Programの長期的な存続性、安定性、独立性を確保するため」に新たな CVE Foundation を発足させた
https://www.thecvefoundation.org
https://mastodon.social/@serghei/114346660986059236
製品ベンダーには自社の修正スケジュールに合わせてCVE発行プロセスを操作する誘因があり、セキュリティ企業にはCVEデータベースへ優先的にアクセスして競争優位を得る誘因がある
商業資金で運営される組織がこうした取り込みを避けるのが不可能というわけではないが、簡単でもない。すぐにMozilla FoundationとGoogleの関係が思い浮かぶ
追記:好きなだけdownvoteして構わない。表現がきつすぎて要点がぼやけたかもしれない。セキュリティの非専門家が、名前や引用句、権威にいかに簡単にだまされるかは興味深い
信頼は一夜にして生まれるものではなく、実のところ完全に生まれることもない。情報セキュリティの専門家なら、将来が不確実なこうしたサプライチェーン迂回に簡単には乗らないはずだ。近いうちにこの考えを試さずに済むことを願うが、ある程度の信頼性と長期的な自動化は必要だ。必要なのは技術的で広く合意されたシステムであって、「財団」ではない
本当の皮肉は、多くのY Combinator創業者やHN読者がまさにこういうことを可能にする側にいて、今になってなぜ蛇が自分の尾を食べているのか不思議がっていることだ
彼ら、あるいは少なくともその一部は、この機能を掌握して収益化できると見ているのかもしれない。定期的な収益源で、価値あるサブスクリプションモデルであり、顧客はこのサービスを本当に必要としている。必要でないなら、ITセキュリティ名目で加入を義務づける新しい法律を作ればよい
NOAAが解体され、気候変動で強化された超大型ハリケーンの警報を受け取るには金を払わなければならない世界のことだ。その気候変動も、同じ無謀で規制なき強欲が生み出したものだ。億万長者も存在すべきではないが、百万長者も同じだ
現在のCVE実装にも大きな問題があったのでは? 特に、スクリプトキディやAIツールがデータベースをスパムで埋め、セキュリティに真剣に取り組むプロジェクトが割り当てられる「スコア」についてほとんど発言権を持たない問題だ
スコアはほとんど役に立たないので、なくなっても気にしないと思うし、実際見てもいない。ただ、ひどいスコアに人々がなぜそこまで怒るのかはよく分からない
高いCVSSスコアが多くの作業を生み出しているなら、脆弱性管理プロセスが壊れているのだと思う。あるいは、セキュリティではなくコンプライアンスの仕事をしているということだ。コンプライアンスが嫌いなら、CVSSスコアが苦痛の根本原因ではない
「気にするかもしれないし、気にしないかもしれないものに安定したIDを付けて集めた中央リスト」は非常に価値がある
それでもスコアの問題は、CVEシステム全体を焼き払うよい理由にはならない
「これは欠陥がある」から「では潰そう」へ飛躍するのは論理的誤謬だ。欠陥のあるセキュリティ登録簿は、セキュリティ登録簿がまったくないより明らかにましだ
オープンソースソフトウェアでCVE管理をしたことがあるなら、NVDの資金縮小が1年以上続いてきたことはすでに知っているはず
2024年4月: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
NISTはNational Vulnerability Database(NVD)を維持している。これは国家のサイバーセキュリティ基盤の中核要素である。ソフトウェアの増加とそれに伴う脆弱性の増加、機関間の支援の変化により、脆弱性の滞留が大きくなっている。NVD改善研究に協力できる産業界、政府、その他の利害関係者組織によるコンソーシアムの結成といった長期的な解決策も検討中
2024年9月 Yocto Project、「An open letter to the CVE Project and CNAs」: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
「ソフトウェアにおけるセキュリティと脆弱性対応は、ますます重要になっている。最近の出来事は、多くのプロジェクトが問題を特定し、適時に解決されるようにする能力に悪影響を与えた。非常に懸念している。最近まで、私たちはCVEプロジェクトのデータではなく、その情報を追加したNVDデータに依存することが多かった。」
5年前の2019年にCarnegie MellonのCERT Directorの発表準備を手伝ったが、その当時もCVEの滞留とリソース不足を扱っていた。報告された脆弱性の相当数はCVE番号すら受け取れていない。その後、待ち行列は増え、資金は減ったが、閲覧数は年平均100回未満だった: https://www.youtube.com/watch?v=WmC65VrnBPI
資金は今日途切れたように見えるし、2つの引用はいずれも作業を続けていて、それが重要だという内容に見える
NVDに対する何らかの脅威が1年以上存在していたという意味なのか? 自分が正しく理解しているか確認したい
その記事は、ソフトウェア脆弱性の量が増え、CVEとNVDプロジェクトが追いつくのが難しくなっているという内容だ
このスレッドに政治的なスピンをまき散らし続けるのはやめてほしい
ほとんどの人が存在すら知らないが社会にとって重要なもののうち、ここ数週間で静かに消えたものが他に何があるのか気になってしまう
これは重要だと分かっているから今回の件を知ることができた。私たちが知らないものは何だろう?
できるだけ善意に解釈しようとしても、これを正当化する悪意のない理由を本当に思いつけない
現在の指導部は、派手ではないものを理解していないように見える。食品安全はいつ後退させるのか気になる。RFKならサルモネラを防いでくれるビタミンをいくつか知っているだろう
これは政府が公共の利益のために行ってくれることの一つだ
あるいは、自社独自の代替的なリスク優先度スコアを売ろうとしている。どの企業もNVDとCVEのデータは喜んで使うが、競合他社を助ける補助金は払いたがらない。サイバーセキュリティのように競争の激しい業界ではなおさらだ
MITRE Corporationは他にも多くのことをしていて、年間売上は22億ドルのようだ
数兆ドル規模の企業がこのシステムの恩恵を受け、貢献もしているのだから、重要インフラのこの小さな部分に売上の0.01%くらいは出せないものか?
steelmanningは内集団へのシグナル以外には役に立たない新語だ。同じ概念には、すでに十分によい言葉として、より微妙で歴史のある「charitability」があった
大きな違いは、charitabilityが相手を尊重することに関するものだという点だ。Steelmanningは、自分の知性で相手の主張を本人よりも良いものに作り替えてやることに近い
charitabilityは相互尊重の概念に基づくので、誰かが自分を少しも尊重していないことが明白なら、なぜ善意で接するべきなのかという問いが成り立つ。Steelmanningは人と主張を切り離そうとするもので、皮肉にも傲慢でナイーブだ
根本原因: 第8層障害
https://www.computerhope.com/jargon/l/layer8.htm