2014年9月24日
一般社団法人JPCERTコーディネーションセンター
脆弱性を識別するCVE番号の新体系による採番のお知らせ
米国MITRE社*1が管理運営する脆弱性の識別子CVE (Common Vulnerabilities and Exposures)*2番号の体系が、2014年から年間1万件を超える脆弱性にも対応できるよう拡張されました。
CVEを参照している組織等においても、固定長のCVE番号を前提とした機械処理をしている場合には、誤動作する可能性があるため、米国MITRE社は、2014年1月15日、CVEのWebサイト上で新番号体系による運用を開始している旨のNotificationを公表、7月15日には、CVE番号体系変更のReminder Notificationを公表しました。そして、2014年9月17日、CNAをはじめとするCVE利用者や脆弱性情報を参照するエンドユーザに至るまで、このCVE番号の新体系を広く周知すべく、改めてプレスリリースを発行しました。
これを受け、CNA(CVE Numbering Authority, CVE 採番機関)*3であるJPCERT/CCからもお知らせいたします。
CVE番号の形式は、1999年の運用開始以来、「CVE-<西暦年号>-<4桁の数字>」と定められていたため、1年間に1万件以上のCVE番号を付与することができませんでした。世界中で発見される脆弱性は年々増加の一途をたどっており、そのままでは今年にも1万件を超えてCVE番号を付与できない事態になることが懸念されていました。CVEを管理・運営しているPrimary CNAである米国MITRE社では、2013年にCVE番号体系の変更に対応するための調査、関連組織や利用者へのヒアリングやアンケート等を実施し、約1年間をかけて番号体系の変更を検討しました。その結果、数字4桁で不足する場合には漸次桁数を増やす方式が採用されることになり、2014年1月1日より実施されています。JPCERT/CCもCNAとして、この番号体系に準じた運用を開始しています。
CVE新番号体系に対応した組織の詳細は次のURLをご参照ください。
対応組織・機関一覧:
Declarations of CVE-ID Syntax Compliance(MITRE社)
https://cve.mitre.org/cve/identifiers/compliant_organizations.html
米国MITRE社のプレスリリースは次のURLをご参照ください。
プレスリリース:
Leading Software Vendors and Cybersecurity Organizations Among Early Adopters of MITRE's
New Vulnerability Naming Format
https://www.mitre.org/news/press-releases/leading-software-vendors-and-cybersecurity-organizations-among-early-adopters-of
*1:米国MITRE 社 News & Events June 23, 2010:
“JPCERT/CC Becomes CVE Numbering Authority”
https://cve.mitre.org/news/index.html
*2:Common Vulnerabilities and Exposures(CVE) :
CVE とは、米国MITRE 社が管理運営を行っている、一般公表されている公知の脆弱性情報を掲載している脆弱性情報辞書(データベース)です。CVE は世界各国の製品開発企業、セキュリティ関連企業、調整機関等が広く利用しています。 「CVE 番号」は、このデータベースに収録された脆弱性情報を一意に識別するために割り当てられる番号です。
Common Vulnerabilities and Exposures
https://cve.mitre.org/
CVE に関する詳細は、米国MITRE 社が提供する次のURLをご確認ください。
CVE List Main Page
https://cve.mitre.org/cve/index.html
About CVE
https://cve.mitre.org/about/index.html
*3:CNA(CVE Numbering Authorities):
CVE 番号の採番を受ける方法は2 種類あります。1 つは「報告者」として新規脆弱性毎にMITRE 社に申請する報告形式による方法です。2 つめはCNA としてMITRE 社の認定を受けた機関が、必要な確認の後、MITRE 社より予め配分されているCVE 番号群(CVE Number Blocks)から採番する方法です。
JPCERT/CCの他にCVE 番号の採番活動を行っている組織としては、Third Party Coordinator(第三者調整機関)としては米国CERT/CC、Software Vendors(製品開発者)としてはAdobe 社,Apple 社, Cisco Systems 社, Hewlett Packard 社,Microsoft 社, Oracle 社, 等といった大手製品開発者など、研究機関としてはCore Security Technologies 社, Secunia 社があり、それぞれ認定を受け、独自採番を行っています。
CNA (CVE Numbering Authority)
https://www.jpcert.or.jp/vh/cna.html
CVE Numbering Authority の詳細は、米国MITRE 社が提供する次のURLをご参照ください
CVE Numbering Authorities
https://cve.mitre.org/cve/cna.html
CVE 互換(CVE Compatibility) :
CVE には、脆弱性対策情報提供サービスやWeb ページ等が、CVE 番号の正確な表示、適切な関連付け、CVE 番号による情報の検索などの一定の特定条件を満たした上で米国MITRE 社へ申請すると、CVE 互換認定を受けることができる「CVE 互換認定(CVE Compatibility)」という制度があります。
CVE 互換認定に関する詳細は、米国MITRE 社が提供する次のURLをご参照ください。
CVE-Compatible Products and Services
https://cve.mitre.org/compatible/compatible.html#j