脆弱性
既知の悪用された脆弱性(KEV)
別称: CISA KEV, KEV カタログ項目
定義
実環境での悪用が CISA(米国)によって確認され、公開 KEV カタログに追加された CVE。米連邦機関に対する修正期限の対象となる。
CISA の KEV カタログは、実在の標的に対して悪用された確かな証拠がある CVE を一覧化したものです。BOD 22-01 のもと、米連邦民間機関は新規追加された項目を通常 2 週間以内に修正する必要があります。米政府主導のカタログですが、世界中の民間組織が高シグナルの優先度ソースとして利用しており、KEV 登載は脆弱性の緊急パッチ適用を判断する最も強い指標の一つです。リスクベースの脆弱性管理プログラムでは、CVSS の深刻度や EPSS 確率と組み合わせて用いられます。
例
- CVE-2021-44228(Log4Shell):公表直後に KEV に追加。
- CVE-2017-0144(EternalBlue):ランサムウェアによる継続的悪用のため長期間掲載。
関連用語
脆弱性
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
CVSS(共通脆弱性評価システム)
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
EPSS(エクスプロイト予測スコアリングシステム)
FIRST が維持するデータ駆動型モデルで、ある CVE が今後 30 日以内に実環境で悪用される確率を推定する。
ゼロデイ・エクスプロイト
ベンダーが未認知、あるいはパッチ未提供の脆弱性に対する動作するエクスプロイトコード。攻撃者にとって極めて価値が高い。
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。