2 ポイント 投稿者 GN⁺ 2025-04-17 | 1件のコメント | WhatsAppで共有
  • DHSの資金契約満了により、MITREのCVEプログラムは2025年4月16日午前0時に停止しかねなかったが、CISAが契約のオプション期間を行使して空白を防いだ
  • 延長期間は情報筋によれば11カ月で、CISAはCVEをサイバーコミュニティの中核サービスであり、機関の優先事項と見ている
  • CVEとCWEプログラム運営のための追加資金が4月16日午前に確認され、予定されていたサービス停止は回避された
  • CVEは脆弱性の識別と管理における事実上の標準であり、NVD、CISAのvulnrichment、セキュリティベンダー製品、CERT、企業の脆弱性データベースが依存する基礎データである
  • 契約満了の原因は明確ではなく、実際に停止していれば新しいCVEレコードの追加が止まり、既存レコードはGitHubで提供される予定だった

CISAの緊急延長で停止を回避

  • MITREのCommon Vulnerabilities and Exposures、つまりCVEプログラムは、DHSとの契約が2025年4月16日午前0時に満了する予定だった
  • CISAが契約のオプション期間を行使したことで、MITRE CVEプログラムのサービス停止は発生しないことになった
    • CISAは、CVEがサイバーコミュニティにとって非常に重要であり、同機関の優先事項だと述べた
    • 中核的なCVEサービスに空白が生じないよう、契約のオプション期間を行使したという立場だ
    • 情報筋によれば、契約延長は11カ月続く
  • MITREのYosry Barsoumは、政府の措置によりCVEプログラムとCommon Weakness Enumeration、つまりCWEプログラムの停止を回避したと述べた
    • 2025年4月16日午前時点で、CISAがプログラム運営を維持するための追加資金を確認した
    • MITREは、CVEとCWEをグローバルなリソースとして維持する方針を保っている

当初予定されていた契約満了と影響

  • 2025年4月15日時点でMITREは、DHSとの契約が満了すればCVEデータベース維持の資金が途絶えるとCVEボードに通知した
  • 満了対象には、MITREがCVEプログラムを開発・運営・近代化する作業と、関連プログラムであるCWEプログラムが含まれる
  • Rand CorporationのSasha Romanoskyは、CVEの命名とソフトウェアパッケージ・バージョンごとの割り当てが、ソフトウェア脆弱性エコシステムの基盤だと評価した
    • CVEがなければ、新たに発見された脆弱性を追跡しにくくなる
    • 深刻度のスコアリング、エクスプロイト予測、パッチ適用の意思決定も揺らぎかねない
  • BitsightのBen Edwardsは、CVEは必ず資金支援を受けるべき価値あるリソースであり、契約を更新しないのは誤りだと評価した
    • CVEの連合型フレームワークとオープン性のおかげで、他の利害関係者が運営を引き継ぐことは可能だ
    • ただし運営主体が変われば、移行プロセスは困難になり得る

CVEが脆弱性エコシステムで担う役割

  • MITREのCVE programは、グローバルなサイバーセキュリティエコシステムの基礎的な柱であり、脆弱性の識別と防御側の脆弱性管理プログラムを導く事実上の標準である
  • CVEデータは、脆弱性管理、サイバー脅威インテリジェンス、セキュリティ情報、イベント管理、エンドポイント検知・対応分野のベンダー製品に基礎データを提供する
  • NISTはNational Vulnerability Database、つまりNVDを通じてMITREのCVEレコードに追加情報を補強している
  • CISAもNVDプログラムの資金不足に対応し、vulnrichmentプログラムでMITREのCVEレコードを補強してきた
  • MITREはCVE recordsの原著者であり、セキュリティ上の欠陥を識別する主要な情報源として機能している

停止時に予想されていた連鎖効果

  • Security ErrataプロジェクトのCSOで元CVEボードメンバーのBrian Martinは、MITREの資金がなくなれば、グローバルな脆弱性管理に即時の連鎖効果が生じると見ている
  • 連合型モデルとCVE Numbering Authorities、つまりCNAは、もはやIDを割り当てて情報をMITREに送り、迅速に公開することができなくなる
  • NVDはCVEを基盤としており、すでに30,000件を超える脆弱性のバックログと、80,000件を超える「deferred」項目を抱えている
    • 「deferred」は、現時点では完全には分析されない項目を意味する
  • 独自の脆弱性データベースを運営する企業も、代替となるインテリジェンス情報源を探す必要がある
  • 中国やロシアを含む国家の脆弱性データベース、世界中の数百から数千に及ぶ国・地域のCERT、CVE/NVDに依存する企業の脆弱性管理プログラムにまで影響が及び得る

契約終了の原因と政府予算の状況

  • DHSが25年間資金提供してきたCVEプログラム契約をなぜ終了しようとしたのかは明確ではない
  • トランプ政権は、Elon MuskのDepartment of Government Efficiencyイニシアチブを中心に、政府支出を全般的に削減してきた
  • DHSはCISAを通じてMITRE CVEプログラムに資金を提供してきており、CISAはすでに2度の資金削減を経験している
  • 報道によれば、CISA職員のほぼ40%に当たる約1,300人が、依然として解雇対象になっている
  • 情報筋は、連邦政府の他部門で行われた予算削減と比べれば、CVEプログラムの運営費用は小さく、「財政を破綻させる」水準ではないと伝えている

民間の代替策と暫定対応

  • 契約延長がなければ、2025年4月16日午前0時からMITREはCVEデータベースに新しいレコードを追加しない予定だった
  • 既存のCVEレコードはGitHubで提供される予定だった
  • VulnCheckのPatrick Garrityは、NIST NVDの前年度の失敗以降、脆弱性エコシステムは脆くなっており、CVEプログラムへの影響は防御側とセキュリティコミュニティに有害になり得ると見ている
  • VulnCheckは、MITREまたはCVEプログラムのどのサービスが影響を受けるか不確実な状況で、2025年のCVE 1,000件を先行して予約した
  • CISAは、CVEは政府と産業界が技術的脆弱性を公開・分類・共有するために使われ、国家の重要インフラを危険にさらし得る脆弱性情報にも関係すると述べた

1件のコメント

 
GN⁺ 2025-04-17
Hacker Newsの意見
  • 関連して進行中のスレッドがある: CVE Foundation - https://news.ycombinator.com/item?id=43704430、Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • MITREとの契約が延長された: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
    おそらく無期限延長だと思う。DOGEは愚か者の集まりかもしれないが、DOD全体には愚かではない人たちもいる

    • 私の推測では、来年に段階的に手を引くことになると思う。長期的な目標は、CVEプログラムを業界主導のコンソーシアムに近い形へ移行することのようだ
      気づいたかどうか分からないが、彼らはゼロベース予算方式で動いている。いったん全部切って、本当に重要なものだけ戻す。まず切ってから質問するやり方だ
      MITREがDoDの契約業者である点も重要だ。CVEプログラムを米軍資金で運営される会社が担うことは、中立性と世界的な信頼に依存するエコシステムにおいて利益相反の懸念を生みうる
    • すでに後続展開で置き換えられた記事ベースのスレッドをどう扱うかは、いつも悩ましい。新しい記事で新スレッドを立てるべきかとも思うが、ついさっき大きな議論があったうえ、「直った」という知らせは元の刺激ほど面白く見えないので、たいていあまり上がってこない
      最近は、元のタイトルの末尾に [fixed] を付けて、状態の変化を読者に知らせる方法を試している。最善かどうかは分からないし、本当に解決した状況なのかも確かではないが、何もしないよりはましに見える。既存スレッドの記事とタイトルを変えるのは、かなりのだまし討ちのように感じられかねない
    • まだFPDSには載っていないようだ: https://www.fpds.gov/ezsearch/fpdsportal?q=PIID%3A%2270RCSJ24FR0000018%22&templateName=1.5.3&indexName=awardfull&x=0&y=0&sortBy=SIGNED_DATE&desc=Y
      契約は今日失効したが、2026年3月までのオプション期間があり、DHSがそのオプションを行使しさえすればよかった
      追記: 契約終了日は今日4月16日なので、オプションが行使されていなければ、今日の午前0時に業務は停止していたはずだ。政府契約ではこういうふうに土壇場まで行くことはよくあり、オプション行使が遅れることも多い。ではなぜ今回だけこんな騒ぎになったのか。CISAがMITREに、オプションを行使しないつもりだと示唆したのだろうか?
    • 記事には「25年ぶりにDHSが契約を終了することにした理由は不明だ」とあるが、突然延長された。これがDOGEとどう関係しているのか分からない
  • こういうことは起きてほしくなかった。DHS内部のどんな縦割り構造のせいで、欠点が十分に大きいと見なされなかったのか気になる
    この分野の専門家の誰も、「潰していい、必要ない」と強く主張したとは思えない。聞かれていれば、「頼むから触らないでくれ、これは必要だ」と強く言ったはずだ
    ただし、高位の財務担当者たちが「直接調査」をする中で、他の人たちがCVEをどう使い、誰が資金を出しているのかを誤解した可能性はありそうだ

  • CVE理事会メンバーの連合が、「Common Vulnerabilities and Exposures(CVE)Programの長期的な存続性、安定性、独立性を確保するため」に新たな CVE Foundation を発足させた
    https://www.thecvefoundation.org
    https://mastodon.social/@serghei/114346660986059236

    • こうしたコンソーシアムは、製品ベンダーとセキュリティ企業のどちらにも取り込まれないよう、明示的に避けるべき
      製品ベンダーには自社の修正スケジュールに合わせてCVE発行プロセスを操作する誘因があり、セキュリティ企業にはCVEデータベースへ優先的にアクセスして競争優位を得る誘因がある
      商業資金で運営される組織がこうした取り込みを避けるのが不可能というわけではないが、簡単でもない。すぐにMozilla FoundationとGoogleの関係が思い浮かぶ
    • 政府が資金を止めたら、この仕事を無料で続けるということなのか?
    • これは本当の前進というより、脆弱性フィッシングを可能にしようとする拙速な試みのような臭いがする。投稿者はセキュリティスタートアップを運営している人物で、サイトも人々がGoogleに詐欺として報告できるGoogleサイトだ
      追記:好きなだけdownvoteして構わない。表現がきつすぎて要点がぼやけたかもしれない。セキュリティの非専門家が、名前や引用句、権威にいかに簡単にだまされるかは興味深い
      信頼は一夜にして生まれるものではなく、実のところ完全に生まれることもない。情報セキュリティの専門家なら、将来が不確実なこうしたサプライチェーン迂回に簡単には乗らないはずだ。近いうちにこの考えを試さずに済むことを願うが、ある程度の信頼性と長期的な自動化は必要だ。必要なのは技術的で広く合意されたシステムであって、「財団」ではない
  • 本当の皮肉は、多くのY Combinator創業者やHN読者がまさにこういうことを可能にする側にいて、今になってなぜ蛇が自分の尾を食べているのか不思議がっていることだ

    • もしかすると、これを望んでいたのかもしれない。多くの政府機能の民営化の一部になり得るからだ
      彼ら、あるいは少なくともその一部は、この機能を掌握して収益化できると見ているのかもしれない。定期的な収益源で、価値あるサブスクリプションモデルであり、顧客はこのサービスを本当に必要としている。必要でないなら、ITセキュリティ名目で加入を義務づける新しい法律を作ればよい
    • 不足している資金はおよそ200万ドル程度だ。米国企業ならどこでも、この問題を一瞬で消し去れる
    • その通り。Y Combinatorとその支持者たちが、ancapのファンタジーランドで楽しく暮らせることを願う
      NOAAが解体され、気候変動で強化された超大型ハリケーンの警報を受け取るには金を払わなければならない世界のことだ。その気候変動も、同じ無謀で規制なき強欲が生み出したものだ。億万長者も存在すべきではないが、百万長者も同じだ
  • 現在のCVE実装にも大きな問題があったのでは? 特に、スクリプトキディやAIツールがデータベースをスパムで埋め、セキュリティに真剣に取り組むプロジェクトが割り当てられる「スコア」についてほとんど発言権を持たない問題だ

    • CVEを積極的に消費している立場から言えば、その通り、大きな問題がある。とはいえ、それより良いものもなく、より良いアイデアもない
      スコアはほとんど役に立たないので、なくなっても気にしないと思うし、実際見てもいない。ただ、ひどいスコアに人々がなぜそこまで怒るのかはよく分からない
      高いCVSSスコアが多くの作業を生み出しているなら、脆弱性管理プロセスが壊れているのだと思う。あるいは、セキュリティではなくコンプライアンスの仕事をしているということだ。コンプライアンスが嫌いなら、CVSSスコアが苦痛の根本原因ではない
      「気にするかもしれないし、気にしないかもしれないものに安定したIDを付けて集めた中央リスト」は非常に価値がある
    • 無作為に9.8点の重大脆弱性が飛び出してきて、自分の環境では影響がゼロでも関係ない。そのCVEのせいで組織のSecurity Scoreが恣意的に10点下がり、経営陣はSecurity Scoreこそ成功を測る唯一の有形成果物なのだから、いつ会社を再び安全にするのかと尋ねてくる
    • スコアが各自の環境全体にわたってそこまで正確であるはずは、そもそもなかった。他所がどれほど依存していたのかは知らないが、私が働いた場所では大きく依存していなかった
      それでもスコアの問題は、CVEシステム全体を焼き払うよい理由にはならない
    • 自分のコードにCVEスキャナーを走らせて、すぐにうんざりしない人を見たことがない
    • もちろん現在のCVE実装には問題がある。タイトルが「DHSがCVEプログラムの改善と簡素化を提案」だったなら、おそらく皆が歓呼しただろう
      「これは欠陥がある」から「では潰そう」へ飛躍するのは論理的誤謬だ。欠陥のあるセキュリティ登録簿は、セキュリティ登録簿がまったくないより明らかにましだ
  • オープンソースソフトウェアでCVE管理をしたことがあるなら、NVDの資金縮小が1年以上続いてきたことはすでに知っているはず
    2024年4月: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
    NISTはNational Vulnerability Database(NVD)を維持している。これは国家のサイバーセキュリティ基盤の中核要素である。ソフトウェアの増加とそれに伴う脆弱性の増加、機関間の支援の変化により、脆弱性の滞留が大きくなっている。NVD改善研究に協力できる産業界、政府、その他の利害関係者組織によるコンソーシアムの結成といった長期的な解決策も検討中
    2024年9月 Yocto Project、「An open letter to the CVE Project and CNAs」: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
    「ソフトウェアにおけるセキュリティと脆弱性対応は、ますます重要になっている。最近の出来事は、多くのプロジェクトが問題を特定し、適時に解決されるようにする能力に悪影響を与えた。非常に懸念している。最近まで、私たちはCVEプロジェクトのデータではなく、その情報を追加したNVDデータに依存することが多かった。」
    5年前の2019年にCarnegie MellonのCERT Directorの発表準備を手伝ったが、その当時もCVEの滞留とリソース不足を扱っていた。報告された脆弱性の相当数はCVE番号すら受け取れていない。その後、待ち行列は増え、資金は減ったが、閲覧数は年平均100回未満だった: https://www.youtube.com/watch?v=WmC65VrnBPI

    • この記事は役に立たず、混乱を招くものだった。今日起きた突然の資金停止が以前の資金削減とは別のものなら、そう明確に編集するか、今後はそう書いてほしい
    • 1年以上続いてきたというのが正確に何を指すのか気になる
      資金は今日途切れたように見えるし、2つの引用はいずれも作業を続けていて、それが重要だという内容に見える
      NVDに対する何らかの脅威が1年以上存在していたという意味なのか? 自分が正しく理解しているか確認したい
    • その記事には資金削減に言及する内容はない
      その記事は、ソフトウェア脆弱性の量が増え、CVEとNVDプロジェクトが追いつくのが難しくなっているという内容だ
      このスレッドに政治的なスピンをまき散らし続けるのはやめてほしい
    • 現政権に否定的に解釈され得るHN投稿のたびに、こういう書き込みを見かける。曖昧な虚偽の主張の後に、事実と合わない説明や、その主張を裏付けない引用文が付いている
  • ほとんどの人が存在すら知らないが社会にとって重要なもののうち、ここ数週間で静かに消えたものが他に何があるのか気になってしまう
    これは重要だと分かっているから今回の件を知ることができた。私たちが知らないものは何だろう?

    • 応援していた人たちは気にしない。米国人の相対的な安定感と生活の質は、彼らがほとんど理解していない、あるいは聞いたこともない制度に支えられている。熱いストーブを自分で触らせてみるしかないのかもしれない
    • https://www.project2025.observer/にいくつか載っている。もちろん、それはTrump側の人たちが認識していて、明示的に破壊しようとしている機関だけだが、出発点にはなる
  • できるだけ善意に解釈しようとしても、これを正当化する悪意のない理由を本当に思いつけない

    • 無知と傲慢だと思う。米国は技術と科学のリーダーシップを失う道に進んでいるようだ
      現在の指導部は、派手ではないものを理解していないように見える。食品安全はいつ後退させるのか気になる。RFKならサルモネラを防いでくれるビタミンをいくつか知っているだろう
    • とてつもなく愚かだ。正当化の理由が何であれ、ひどい結果ほど重要ではない
      これは政府が公共の利益のために行ってくれることの一つだ
    • コモンズの悲劇だ。NVDとCVEプロジェクトは何年も滞留と資金問題を抱えていたし、ほとんどのセキュリティ企業は脆弱性情報を適時に提供することに消極的だ。自分たちの比較優位を下げかねないからだ
      あるいは、自社独自の代替的なリスク優先度スコアを売ろうとしている。どの企業もNVDとCVEのデータは喜んで使うが、競合他社を助ける補助金は払いたがらない。サイバーセキュリティのように競争の激しい業界ではなおさらだ
    • 政府支出を減らすためかもしれない。私の見るところ、実際の政府組織ではなさそうなので、他の組織が資金を出すこともできる。この組織に毎年どれくらい費用がかかっているのかも気になる
      MITRE Corporationは他にも多くのことをしていて、年間売上は22億ドルのようだ
      数兆ドル規模の企業がこのシステムの恩恵を受け、貢献もしているのだから、重要インフラのこの小さな部分に売上の0.01%くらいは出せないものか?
    • 個人的に気に障る話題ではあるのだが、だからこそsteelmanningは逆効果だと思う
      steelmanningは内集団へのシグナル以外には役に立たない新語だ。同じ概念には、すでに十分によい言葉として、より微妙で歴史のある「charitability」があった
      大きな違いは、charitabilityが相手を尊重することに関するものだという点だ。Steelmanningは、自分の知性で相手の主張を本人よりも良いものに作り替えてやることに近い
      charitabilityは相互尊重の概念に基づくので、誰かが自分を少しも尊重していないことが明白なら、なぜ善意で接するべきなのかという問いが成り立つ。Steelmanningは人と主張を切り離そうとするもので、皮肉にも傲慢でナイーブだ
  • 根本原因: 第8層障害
    https://www.computerhope.com/jargon/l/layer8.htm