Malwarebytesは9月19日(米国時間)、「The mystery of the CVEs that are not vulnerabilities」において、脆弱性ではない古いバグが脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)に多数登録されたと報じた。オープンソースプロジェクトの脆弱性として、すべて同じ日(2023年8月22日)に138件登録されている。

  • The mystery of the CVEs that are not vulnerabilities

    The mystery of the CVEs that are not vulnerabilities

脆弱性情報データベース(CVE)とは、一般公開されている情報セキュリティ上の脆弱性やインシデントに固有の名前や番号を付与してリスト化したもの。その目的は個別の脆弱性機能(ツール、データベース、サービス)間でデータ共有を容易にするためとされる。

Malwarebytesによると、登録手順は次のようになる。

  1. 脆弱性を発見
  2. 脆弱性情報データベースプログラムに報告する
  3. 報告者はCVE IDを要求し、CVE IDが予約される
  4. CVEレコードに最低限必要な情報が登録、確認されるとCVEリストに公開される

脆弱性を登録すると通常はCVE IDに登録年を含んだIDが発行される。よって、今年新しく登録したものはCVE-2023から始まるIDが付与される。問題を指摘したDan Lorenc氏によると、未知の団体が、古くて高い深刻度(CVSS)を持つ多数の脆弱性の登録を行ったという(参考:「Can you spot the worst CVEs in the last few weeks? #cve #vulnerabilitymanagement #nvd #cvss | LinkedIn」)。

Dan Lorenc氏は特に悪質なものとして、CVE-2020-21469とCVE-2020-19909を挙げている。これらは登録時点で深刻度(CVSS)が9.8の緊急(Critical)とされていた(現在はいずれも深刻度は訂正されている)。脆弱性を指摘されたアプリケーションの開発者はどちらも脆弱性ではないと反論している。

また、CVE IDが2020となっていることから、CVE IDの予約が2020年に行われていることがわかる。これらのことから今回の多数の登録は、開発者を関与させることなくボットまたは人工知能(AI: Artificial Intelligence)によって古い問題をスクレイピングし、自動化された手法で行われたと推測されている。

脆弱性の対策において開発者が関与していない状況は、問題を深刻化させるだけで危険だと考えられている。自動化された手法で登録を行っているのであれば、すぐに対策を取る必要があるものとみられる。

この件について、Malwarebytesは脆弱性情報データベース自体に根本的な問題があると指摘。すでに解決された脆弱性ではないバグが登録できるのは、恐怖をあおるだけの奇妙な仕組みと批判している。ほかにも脆弱性情報データベースの問題について、改善を求める声は多い。脆弱性情報データベースには登録される情報の正しさの確認や、開発者が関与できているかなどを検証する仕組みづくりなどの対策が求められている。