MITREのYosry Barsoum副社長は、Common Vulnerabilities and Exposures (CVE)およびCommon Weakness Enumeration (CWE)プログラムに対する米国政府の資金提供が本日期限切れとなり、世界のサイバーセキュリティ業界全体に広範な混乱が生じる可能性があると警告した。
この2つのうち最も重要なCVEは、米国国土安全保障省(DHS)の国家サイバーセキュリティ部門からの資金提供を受けてMITREが管理しています。CVEは、セキュリティの脆弱性について議論する際に、正確性、明確性、共有基準を提供する上で極めて重要である。
このプログラムは、脆弱性管理システムを含むさまざまなサイバーセキュリティ・ツールに広く採用されており、MITREをCVEエディタおよびプライマリCNAとする世界中のCVEナンバリング・オーソリティ(CNA)によって割り当てられたCVE識別子(CVE ID)を使用して、新たに発見されたすべての脆弱性を追跡することができます。
CVEはまた、1つのセキュリティ上の欠陥に複数の名前を使用することによる混乱を回避し、新しい脆弱性の協調的なカタログ化を可能にし、セキュリティチームが標準的な参照システムを使用して、勧告、脆弱性データベース、およびその他のリソースを通じてより簡単に情報を共有することを可能にします。
「2025年4月16日(水)に、MITREがCVEおよびCWEなど他のいくつかの関連プログラムを開発、運営、近代化するための現在の契約経路が期限切れとなります。政府は、このプログラムを支援するMITREの役割を継続するため、多大な努力を続けています」と、バルサムはCVE理事会メンバーに送った書簡の中で警告している。
「サービス停止が発生した場合、国家脆弱性データベースや勧告、ツールベンダー、インシデント対応業務、あらゆる重要インフラの劣化など、CVEへの複数の影響が予想されます」。
この書簡がオンラインで公開されて以来、多くのセキュリティ専門家やサイバーセキュリティ・コミュニティのリーダーたちが怒りを表明している。彼らが恐れているのは、このプログラムが突然終了し、サーバーがシャットダウンされ、CVEナンバリング・オーソリティのCVE APIへのアクセスが遮断された場合、現場の誰もが新しいセキュリティ問題を追跡するための標準化された方法を持てなくなることだ。
CISAの元責任者、ジーン・イースタリー氏によると、その結果、最も信頼されていたセキュリティ・ツールやプロセスが崩壊し、世界的な調整努力がすべて崩壊する可能性が高いという。
「CVEシステムは見出しにはならないかもしれないが、現代のサイバーセキュリティの最も重要な柱の一つである。CVEシステムを失うことは、すべての図書館からカード目録を一度に引き裂くようなものであり、攻撃者が優位に立つ一方で、防御者は混乱した状況を整理することになる」とイースタリーはLinkedInで警告している。
「サイバー脅威は国境に止まらない。CVEは、インテリジェンスを共有し、行動を調整するために世界中で使用されている共通言語です。それを失えば、誰もが盲目になってしまう」。
クラウドソーシング・セキュリティ企業Bugcrowdの創設者であるケイシー・エリス氏は、「CVEは、脆弱性管理、インシデント対応、重要インフラ保護の取り組みの大部分を支えています。突然のサービス停止は、国家安全保障問題にまで発展する可能性がある」と述べた。
DHS、米国立標準技術研究所(NIST)、国防総省の広報担当者に問い合わせたところ、すぐにコメントは得られなかった。
しかし、CISAの広報担当者は、「CISAとMITREコーポレーションとの契約は4月16日以降に失効するが、我々は緊急に影響を軽減し、世界の利害関係者が依存するCVEサービスを維持するために取り組んでいる」と語った。
MITREがCVEプログラムの資金を維持するのに苦労しているのは、NISTが国家脆弱性データベース(NVD)のために充実させる必要のあるCVEの大量の滞留を解消するために奔走しているときでもある。
The post MITRE、重要なCVEプログラムの資金が今日で期限切れと警告 first appeared on PRSOL:CC.