セキュリティ関連のニュースで「CVE-2017-0144」や「CVE-2021-34527」といった番号を見たことはありませんか?
これは世界共通で使われる脆弱性の整理番号『CVE番号』です。CVE番号があることで、研究者や企業は同じ脆弱性を同じIDで参照でき、混乱なく情報を共有できます。
この記事では『CVE番号』について、以下の内容を図を用いてわかりやすく解説します。
- CVE番号とは?
- CVE番号の形式
- 実際のCVE番号の例
- CVE番号が付与される流れ
- CVE番号を検索できるサイト
CVE番号とは?
CVE番号(CVE-ID)とは、世界中で報告されたソフトウェアやハードウェアの脆弱性を一意に識別するための番号です。「Common Vulnerabilities and Exposures(共通脆弱性識別子)」の略称で、1999年から運用が始まりました。
脆弱性は世界中で日々発見されており、その数は年間数万件にものぼります。そのままでは混乱するため、国際的に統一されたIDを割り振り、同じ脆弱性をどこから参照しても同じ番号で認識できるようにしたのがCVE番号です。
CVE番号の形式
CVE番号は次のような形式で表記されます。
- CVE
- CVE番号の先頭は必ず「CVE」で固定されています。
- YYYY(年)
- 脆弱性に対してCVE番号が割り当てられた年を示します。割り当て前にGitHub issue等で一般公開されていた場合はその公表年になります。
- 注意点:脆弱性が発見された年や修正された年ではありません。
- NNNNN(番号)
- その年に発行された通し番号です。
- 2000年~2013年まで
- 番号部分は4桁固定。
- 1〜999番は先頭にゼロを付けます。
- 例:
CVE-2012-0999
- 2014年以降
- 脆弱性の件数増加に対応するため、番号部分は任意の桁数を使えるようになりました。
- 5桁の場合の例:
CVE-2014-10001 - 6桁の場合の例:
CVE-2014-100001
- 5桁の場合の例:
- ただし、1〜999番は従来どおり先頭にゼロを付けます。
- 例:
CVE-2014-0001
- 例:
- 脆弱性の件数増加に対応するため、番号部分は任意の桁数を使えるようになりました。
実際のCVE番号の例
以下に実際のCVE番号の一例を示します。
- CVE-2017-0144(別名:WannaCry)
- 概要:WindowsのSMBv1の脆弱性
- 影響:この脆弱性を悪用したランサムウェア「WannaCry」が世界中に拡散し、大規模な被害を引き起こした。
- CVE-2021-34527(別名:PrintNightmare)
- 概要:Windowsのプリントスプーラーサービスに存在した脆弱性
- 影響:リモートから管理者権限を奪われる危険性。多くの企業が急遽パッチ適用やサービス停止を実施。
CVE番号が付与される流れ
CVE番号は、脆弱性が報告されてから次のような手順を経て発行・公開されます。
- 脆弱性の発見
- 研究者、開発者、利用者、セキュリティ担当者などが脆弱性を発見する。
- 脆弱性の報告
- 発見者は、ソフトウェアベンダーや調整機関(JPCERT/CC、CERT/CCなど)に報告する。
- 報告先によっては、そのままCVE番号の申請も代行してくれる。
- 調整(コーディネーション)
- ベンダーと調整機関が連携し、修正パッチの準備、影響範囲の確認、公開タイミングの調整を行う。
- この段階では「脆弱性の存在は確認されているが、CVE-IDはまだ割り当てられていない」状態。
- CVE番号の発行
- CNA(CVE Numbering Authority:CVE番号を発行できる認定機関)がCVE番号を割り当てる。
- 大手ベンダー(Microsoft、Google、Red Hat、Oracle など)は自社がCNAになっており、自社製品の脆弱性に対して直接CVE番号を発行可能。
- CVE番号の公開
- CVE公式サイト(MITRE)やNVDに登録され、世界的に参照できる状態になる。
- 数日~数週間、場合によっては数か月遅れて、JVN iPedia(日本語データベース)にも掲載されることがある。
補足
すべての脆弱性にCVE番号が付与されるわけではありません。
- 公開されないまま修正された脆弱性
- ごく限定的な環境でしか成立しないもの
- CNAに報告されなかったもの
などはCVE番号が付かないことがあります。そのため、「CVE番号がない=脆弱性が存在しない」ではない点に注意が必要です。
CVE番号を検索できるサイト
CVE番号は以下のサイトで検索できます。
- CVE公式
- URL: https://cve.mitre.org/
- 運営主体: MITRE社(米国の非営利組織)
- CVE-IDを最初に確認できる公式サイト。登録直後の最小限の情報が載ります。
- NVD(National Vulnerability Database)
- URL: https://nvd.nist.gov/
- 運営主体: NIST(米国国立標準技術研究所)
- 世界最大級の脆弱性データベース。CVEに基づき、CVSSスコア(深刻度)やCWE分類などの詳細情報も付与されます。
- JVN iPedia
- URL: https://jvndb.jvn.jp/
- 運営主体: IPA(独立行政法人 情報処理推進機構)
- 日本語で検索でき、日本国内向けの脆弱性情報も充実しています。
公開タイミングの違い
各サイトのCVE番号の公開タイミングは違います。
- CVE番号が発番されると、まずCVE公式に登録される。
- その後、NVDに公開される。
- ただし、CVE公式に登録されてからNVDに反映されるまでには、数時間〜数日ほどのタイムラグが発生することがあります。
- CVSSスコアなどの分析が完了していない場合は「Reserved(予約中)」や「Awaiting Analysis」と表示されることもあります
- 数日~数週間、場合によっては数か月遅れて、JVN iPediaに掲載される
- これは、JVN iPediaがNVDなどの情報を参照しつつ、日本語化や国内利用者向けの整理を行ってから公開しているためです。
本記事のまとめ
この記事では『脆弱性のCVE番号』について、以下の内容を説明しました。
- CVE番号とは?
- CVE番号の形式
- 実際のCVE番号の例
- CVE番号が付与される流れ
- CVE番号を検索できるサイト
CVE番号は「世界共通の脆弱性の整理番号」です。ITエンジニアやセキュリティ担当者にとって、脆弱性を正しく把握し迅速に対応するために欠かせない仕組みになっています。もしニュース記事やセキュリティ製品のアラートで「CVE-XXXX-YYYY」という番号を見かけたら、それは「脆弱性の世界共通ID」だと理解すればOKです。セキュリティリスクを減らすためにも、CVE番号を活用して最新の脆弱性情報をチェックしていきましょう!
お読み頂きありがとうございました。