脆弱性
N-day 脆弱性
別称: 既知の脆弱性
定義
公開済みでパッチも提供されているが、未更新のシステム上ではいまだに悪用可能な脆弱性。
N-day とは公開やパッチ提供から経過した日数を指します。修正は存在しても、世の中には未更新の資産が大量にあり、変更承認の遅さ、EOL ソフトウェア、組込み機器、シャドー IT などが暴露の長いテールを生みます。攻撃者はパッチをリバースエンジニアリング(diff)し、数時間〜数日のうちに動作する攻撃コードを作り上げ、その後インターネット規模での大量悪用キャンペーンに発展します。実データ上では、N-day 脆弱性は侵害統計においてゼロデイをはるかに上回ります。防御側は迅速なパッチ管理、仮想パッチ、資産インベントリ、KEV に基づく優先付け、EPSS を反映したリスク評価を組み合わせて対処します。
例
- CVE-2017-0144(EternalBlue/WannaCry):Microsoft のパッチ提供から数か月後も大規模に悪用。
- CVE-2019-19781(Citrix ADC):ベンダーの暫定対策にもかかわらず大規模悪用が発生。
関連用語
脆弱性
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
ゼロデイ脆弱性
発見または悪用された時点でベンダーが未認知、あるいはパッチがまだ存在しないセキュリティ上の欠陥。
エクスプロイト
脆弱性を悪用して、コード実行・権限昇格・情報漏えいなど意図しない動作を引き起こすコード、データ、または手法。
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。
既知の悪用された脆弱性(KEV)
実環境での悪用が CISA(米国)によって確認され、公開 KEV カタログに追加された CVE。米連邦機関に対する修正期限の対象となる。
脆弱性スキャン
既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。