概要
CVE(Common Vulnerabilities and Exposures)とは、公に知られているセキュリティ脆弱性に割り当てられる世界共通の識別番号のことです。
セキュリティニュースで「CVE-2024-12345の脆弱性が発見された」のように表記されます。
CVEが生まれた理由
以前は、同じ脆弱性でも各企業やセキュリティ団体がバラバラの名前で呼んでいました。 これでは混乱するため、1999年にMITRE社が世界共通の識別番号システム「CVE」を作りました。
CVEのおかげで、世界中の技術者が同じ脆弱性について正確にコミュニケーションできるようになりました。
CVE番号の見方
CVE番号は「CVE-[年]-[連番]」の形式で表記されます:
CVE-2024-12345
- CVE:固定の接頭辞
- 2024:脆弱性が登録された年
- 12345:その年の連番(何番目に登録されたか)
注意:連番が大きいほど後に発見されたものですが、深刻度とは関係ありません。
CVE番号を検索してみよう
実際のCVEデータベースの使い方を体験
CVSSスコアとは?
CVE情報には、脆弱性の深刻度を示すCVSS(Common Vulnerability Scoring System)スコアが付いています:
- 0.0-3.9: 低(Low)
- 4.0-6.9: 中(Medium)
- 7.0-8.9: 高(High)
- 9.0-10.0: 緊急(Critical)
スコアが高いほど、早急な対応が必要です。
CVEとゼロデイ攻撃の関係
ゼロデイ攻撃では、CVE番号がまだ割り当てられていない脆弱性が狙われることがあります。
流れを整理すると:
- Day 0:脆弱性が攻撃者だけに知られている(CVE番号なし)
- Day 1〜:脆弱性が公開され、CVE番号が割り当てられる
- Day X:パッチが公開され、対策可能になる
つまり、CVE番号が公開された時点で、もうゼロデイではないということです。
CVE情報の調べ方
CVE番号がわかったら、以下のサイトで詳細を調べられます:
- NVD(National Vulnerability Database):https://nvd.nist.gov/
- CVE公式サイト:https://cve.mitre.org/
- JVN(日本語):https://jvn.jp/
CVEの限界
CVEは便利なシステムですが、いくつかの限界があります:
- 登録に時間がかかる:脆弱性発見からCVE番号割り当てまで数日〜数週間かかることも
- ゼロデイには対応できない:公開されていない脆弱性にはCVE番号がない
- すべての脆弱性が登録されるわけではない:軽微なものや未公開のものは登録されない