Japan Computer Emergency Response Team Coordination Center

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は9月24日、「脆弱性を識別するCVE番号の新体系による採番のお知らせ」において、セキュリティ脆弱性の識別子であるCVE(Common Vulnerabilities and Exposures)はすでに新しい体系での運用が始まっていることを伝えるとともに、固定長を前提とした処理を実施している場合には注意するように喚起した。

MITREが管理するセキュリティ脆弱性識別子CVE(Common Vulnerabilities and Exposures)は「CVE-西暦年号-4桁の数字」で運用されてきたため、基本的に年に9,999件までのセキュリティ脆弱性を登録できることになる。2014年からは年間1万件を超えるセキュリティ脆弱性も割り当てが可能なように必要に応じて桁を増やす方式へ変更している。

JPCERTコーディネーションセンターはこういしたCVE番号の表現方式の変更に言及するとともに、これまで4桁固定を前提として自動処理などを実施している場合には、1万件を超えるセキュリティ脆弱性が登録された場合に適切に処理できない可能性があることを指摘するとともに注意喚起を行っている。