連邦サイバーセキュリティ庁は、米国政府外の人々が、悪用されたバグのカタログに脆弱性を報告するための新しい経路を作成しました。 ### 脆弱性報告の簡素化 **CISA**は木曜日、サイバーセキュリティコミュニティにとって重要なツールとなっている「**Known Exploited Vulnerabilities (KEV)**」カタログに追加する必要のあるバグを報告することを「研究者、ベンダー、業界パートナー」に可能にする、という指名フォームの作成を発表しました。 「毎日、**CISA**は、悪用された脆弱性を特定し報告するセキュリティ研究者や業界パートナーと協力しています。この新しい報告機能は、重要な脅威情報を特定、検証、迅速に共有する**CISA**の能力を強化します」と、**CISA**のサイバーセキュリティ担当執行副長官代理であるChris Butera氏は述べています。 「早期検出と協調的な脆弱性開示は、リスクを大規模に軽減するための最も強力なツールの一部です。**CISA**は、研究者や組織に対し、脆弱性脅威を共有し、アメリカ人が日々依存しているシステムを保護するのを支援することを強く奨励します。」 専門家は現在、[指名フォーム](https://cisasurvey.gov1.qualtrics.com/jfe/form/SV_1Zwu52kgK2OYf3w)または電子メールで脆弱性を提出でき、バグに関する情報と、その悪用に関する証拠を提供する必要があります。 ### KEVカタログの重要性 通称KEVと呼ばれるこのカタログは、連邦政府内のサイバーセキュリティ防御者に対し、特定の期間（通常3週間）内にパッチを適用する必要があるソフトウェアおよびハードウェアの脆弱性の権威あるリストを提供することを目的としています。 これにより、防御者はハッカーや国家主体の攻撃者によって積極的に悪用されている脆弱性の修正に集中できるようになりました。 同庁は、**CISA**へのバグ報告は「国家のサイバーセキュリティ体制にとって不可欠であり、悪用された脆弱性が早期に発見され、責任を持って伝達され、連邦、民間、重要インフラネットワーク全体で迅速に軽減されることを保証するのに役立ちます」と述べています。 3月に退職するまで約5年間**CISA**の最高情報責任者を務めたRobert Costello氏は、新しい提出フォームは、同庁がサイバーセキュリティ研究コミュニティとのパートナーシップを非常に実用的な方法で運用するための手段であると述べています。 「標準化された指名プロセスを通じて悪用インテリジェンスをクラウドソーシングすることは、KEVの追加を迅速化し、最終的にはエコシステム全体での防御行動を迅速化することを意味します」と彼は述べています。 「AIが脆弱性の発見と悪用の両方を加速させている現在、早期の協調開示がこれまで以上に重要になっているため、これは適切な時期に適切な動きです。」 ### 影響と将来の考慮事項 カタログは[2021年の debut以来成長しており](https://therecord.media/cisa-known-exploited-vulnerability-catalog-passes-1000)、連邦政府外のサイバー防御者は、どのバグが標的になっているかを知るための参照点として採用しています。専門家は、組織がKEVに追加された脆弱性を、KEV以外のバグよりも[3.5倍速く修正している](https://therecord.media/kev-list-vulnerabilities-patched-significantly-faster)ことを発見しました。 AIによって発見された脆弱性の増加に対処する方法を防御者が模索する中で、その重要性はさらに高まっています。これらの脆弱性の多くは取るに足らず、悪用される可能性は低いと考えられています。 **Qualys**のMayuresh Dani氏は、**CISA**は以前は電子メールでの提出を受け付けていたが、このメールアドレスへの提出に基づいてKEVに追加された脆弱性の数に関する外部からの報告はなかったと指摘しました。新しいフォームは、提出者に重要で詳細な情報の追加を強制します。 「うまくいけば、この機能により、提出後に何が起こるかについての可視性が得られるでしょう」とDani氏はRecorded Future Newsに語りました。「**CISA**によってこの情報がどのように検証されるか、そして**CISA**によって不正確または虚偽の報告に対するどのようなガードレールが設けられ、KEVリストに実際に検証された悪用観測のみが掲載されるかが、見られるべき点です。」 Dani氏は、KEVの商用代替品が存在し、一部ではすでに脆弱性悪用の遅延指標と見なされているため、**CISA**は追いつこうとしている可能性があると付け加えました。 当初KEVに追加された脆弱性のほぼすべてに3週間の修正期限が与えられていましたが、近年、[24時間以内のパッチ期限](https://therecord.media/cisa-orders-agencies-patch-citrix-bleed-2)が与えられる脆弱性の数も増加しています。 今月初め、Reutersは、**CISA**のニック・アンダーソン代理長官とショーン・カーンクロス米国国家サイバーディレクターが、ハッカーが強力な新興AIシステムを使用して脆弱性のエクスプロイトをより短時間で開発しているという懸念から、すべての新しいバグのKEV期限をわずか3日間に制限する可能性を浮上させていると報じました。 専門家は、民間部門との連携を強化する新しい取り組みは、防御努力、脆弱性開示、および悪用追跡を迅速化するために設計されたと述べています。 「このような改善は、KEVのシグナル品質と適時性を強化するのに役立ち、最終的には理論的な深刻度よりも実際の脅威リスクを優先しようとする防御者に利益をもたらします」と**JupiterOne**のChris Doyle氏は述べています。