CISA KEVについて

　脆弱性管理を行なっている組織では、おそらくCISA Known Exploited Vulnerabilities Catalog(KEV)についてしばしば耳にしたことがあると思います。

この記事では、CISA KEVについて簡単にまとめています。

CISAについて

　CISA（Cybersecurity and Infrastructure Security Agency：アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁）は米国土安全保障省の外局機関であり、国家レベルでサイバーセキュリティ等に関するレベル向上やリスク低減を国家レベルで推進する組織です。

　最近ではサイバーセキュリティに関する様々な情報がCISAから発信されています。そのため、OSINTを用いた脅威インテリジェンスを行う上では、是非とも定期的にチェックしておきたい情報源になります。CISAには様々なセキュリティリソースがあり、MLやTwitter等も用意されていますので、Subscribeしておくと良いでしょう。

Known Exploiterd Vulnerabilities Catalog(KEV)

　　CISA Known Exploit Vulnerability Catalog: CISA KEV)はCISAが公開している「実際に悪用が確認された脆弱性のカタログ」になります。 CISA KEVに載せられた脆弱性に関しては、BOD 22-01 の要求事項により、連邦政府機関はシステムを定められた日限までにベンダーの指示に従って修正する義務が生じます。

　ここで「実際に悪用が確認された」ということの定義ですが、 CISA: 「Reducing the Significant Risk of Known Exploited Vulnerabilities」によると

• 脆弱性が過去に悪用されたか、現在進行形で悪用されているもの
• ハニーポットなどに対する悪用の試みも入る

となります。逆に「KEVに載らないもの」に関しては以下のようなものがあります。

• 脆弱性スキャン
• PoCの公開

PoCが公開されると当然悪用のリスクは高まりますが、KEVではPoCが公開されただけではカタログには載せません。あくまでも上記に当てはまる事象が発生した場合にのみKEVに載ることになります。

CISA KEVを見てみる

　実際にCISA KEVを見てみましょう。以下がトップページになります。

　スクロールしていくと、カタログに載せられた（つまり悪用が観測された）脆弱性を見ることができます。

このようにCVE-IDやCWEと説明、追加された日時(Date Addedd)と対応しなくてはならない日時(Due Date)、Actionなどが載っています。

また面白いことに「Known To Be Used in Ransomware Campaigns? 」という項目も入っています。これは「脆弱性が既知のランサムウェアキャンペーンで使用されているか？」という事でUnknown(不明)となっています。ランサムウェアキャンペーンで使用されている場合にはここが下記のようにKnownになります。

一般ユーザにとってのCISA KEVの使い方

　実際に脆弱性管理を行なっていると

• 実際に脆弱性対応の優先順位と実運用の兼ね合いをどうするのか

ということに悩むと思います。例えば

• Windowsの脆弱性が出たが、更新するには再起動が必要になるため、できる限り週末などまで待ってから行いたい
• VPNルーターの脆弱性が出ているが、更新するには現地に人が行く必要があるため、なるべく月末まで待ってほしい

という事が実際に発生します。

もちろんセキュリティ側の立場からすると「兎に角なるべく早く更新とかを行なう」が一番安全ですが、現実的には難しいこともあります。その様な場合に、例えば優先順位付の観点の一つとして

• CISA KEVに載っているものは、実際に今悪用される危険性があるため
  • あれば迂回策を早急に行う
  • なければなるべく早く更新を行う
• CISA KEVに載っていないものは、悪用されるまでタイムラグがあると考えて
  • あれば迂回策を早急に行う
  • 運用とのタイミングを見計らって、週末などに更新を行う

などのように使うことができます（もちろん、実際に優先順位付を行う際には資産価値やインパクト、PoCの有無などを考慮する必要がありますのでお気をつけ下さい）。

CISA KEVの問題点

　このCISA KEVですが「実際にCISAが悪用を認識した」ものが登録されていく形になるため、場合によっては「A組織ではすでに悪用を観測しているがCISAでは認識していない」というケースも（理論上当たり前ですが）発生します。そのような場合にはCISA: 「Reducing the Significant Risk of Known Exploited Vulnerabilities」に

「Note: Organizations or individuals with information about an exploited vulnerability not currently listed on the KEV are encouraged to contact us at vulnerability@cisa.dhs.gov.」

とありますので、上述のメールアドレスに連絡をすると良いでしょう。

参考情報

• CISA「Known Exploited Vulnerabilities Catalog」
• CISA: 「Reducing the Significant Risk of Known Exploited Vulnerabilities」
• CISA: 「BOD-22-01」

関連記事:

CVSSとは？脆弱性の性質と重大性を共有するためのフレームワークCVSS v4.0について専門家が解説！CVSSの4つの構成要素CWEとは？ソフトウェアの脆弱性の種類を分けるためのIDを解説CPEとは？ハードウェア／ソフトウェアなどを識別する情報を解説