共通脆弱性識別子（CVE）プログラム、国土安全保障省から資金供与を打ち切られ終了へ

1 : 2025/04/16(水) 20:41:15.624 ID:b2q.OJTn7

脆弱性管理を担うCVEプログラムの運営資金が2025年4月16日で失効することが明らかに
https://gigazine.net/news/20250416-cve-program-lose-funding/

2 : 2025/04/16(水) 20:41:32.581 ID:b2q.OJTn7

共通脆弱(ぜいじゃく)性識別子(CVE)プログラムは個別製品中の脆弱性を対象として、アメリカ政府の支援を受けた非営利団体・MITREが脆弱性ごとに識別子を付与する制度です。このCVEプログラムが、アメリカの国土安全保障省が資金提供契約を更新しなかったことで、現地時間の2025年4月16日をもって予算が失効することが明らかとなりました。

MITRE-backed cyber vulnerability program to lose funding Wednesday – Nextgov/FCW
https://www.nextgov.com/cybersecurity/2025/04/mitre-backed-cyber-vulnerability-program-lose-funding-wednesday/404585/

CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in limbo | CSO Online
https://www.csoonline.com/article/3963190/cve-program-faces-swift-end-after-dhs-fails-to-renew-contract-leaving-security-flaw-tracking-in-limbo.html

4 : 2025/04/16(水) 20:42:01.892 ID:b2q.OJTn7

CVEプログラムは、サイバーセキュリティの分野において既知の脆弱性を一元的かつ標準的に識別・管理するための国際的な枠組みで、1999年に開始されました。CVEプログラムは非営利団体のMITREによって開発・運用・維持されており、民間企業から政府機関、国家安全保障、重要インフラに至るまで、幅広い分野で利用されています。

CVEプログラムの核心は、発見された脆弱性に対して固有の識別番号を割り当て、研究者やベンダー、公的機関が同一の脆弱性について一貫した方法で情報を共有できるようにすることにあります。CVEプログラムの支援のもと、2025年時点でおよそ27万5000件もの脆弱性情報がカタログ化されており、こうして割り当てられた脆弱性情報は、公式サイトやGitHubを通じて一般に公開されています。

しかし、2025年4月15日付けでCVE理事会に送られた内部メモがBlueskyに流出しました。このメモには、「2025年4月16日(水)、MITREがCVEおよびCWEなどの関連プログラムを開発・運用・近代化するための現在の契約が失効します。政府は、MITREの同プログラム支援継続に向けて多大な努力を続けています」と書かれていました。

テクノロジー系ニュースメディアのNextgov/FCWに対し、MITRE・国土安全保障センターのYosry Barsoum所長は、CVEプログラムなど同組織が運営するプログラムへの資金提供が2025年4月16日で終了することを認めました。Barsoum所長によれば、MITREはCVEプログラムの運用資金をアメリカ政府からの資金提供契約によってまかなっており、その契約が4月16日で期限を迎えるとのこと。

この背景には、アメリカのサイバーセキュリティー・インフラセキュリティー庁(CISA)の大規模な予算削減と契約整理があると見られます。報道では、CISA内部で複数の契約が打ち切られたり放置されたりしたままになっているとの情報もあり、CVEを含む脆弱性管理業務がその余波を受けた可能性が高いとNextgov/FCWは報告しています。

5 : 2025/04/16(水) 20:42:12.326 ID:8HBWNZSAy

まあまあ大ニュースで草

6 : 2025/04/16(水) 20:42:30.421 ID:b2q.OJTn7

タァンプほんまロシアスパイやな🥺

7 : 2025/04/16(水) 20:43:08.717 ID:HtjQtchE9

いやヤバすぎて草

8 : 2025/04/16(水) 20:43:24.688 ID:b2q.OJTn7

これやって得するのロシアと中国だけやろ🥺

9 : 2025/04/16(水) 20:43:35.494 ID:goxBIhgcv

終わりだろこの国

10 : 2025/04/16(水) 20:44:03.830 ID:IMTzeM3aG

ちょうど同じニュースみとったがヤバ過ぎて草やわ

11 : 2025/04/16(水) 20:44:53.723 ID:HtjQtchE9

情シス、ド派手に逝く

12 : 2025/04/16(水) 20:45:12.088 ID:5EQPmhgkb

こんなんやってグレートアメリカで居続けられるわけねえだろ

13 : 2025/04/16(水) 20:45:34.836 ID:6f4Q/A.Q6

うーんこの
まあ最近はCVE報告が素人の箔付けに使われてたり
採録過程が不透明で正当な修正が通らなかったり
作り直す良いタイミングや

14 : 2025/04/16(水) 20:45:52.818 ID:P4kYSy.rs

おい。もうやめろ。
米国株は終わりだイギリスにいくぞ

15 : 2025/04/16(水) 20:46:19.268 ID:bQCooukRC

インサイダーも不正もマネロンもやりたい放題！

16 : 2025/04/16(水) 20:46:43.922 ID:UMCPBJil.

これは流石にテック系の企業が金出して継続するやろ

17 : 2025/04/16(水) 20:46:49.624 ID:JsBXZ5ZSQ

CVEなくなってしまうん？

19 : 2025/04/16(水) 20:47:54.877 ID:qTR56Ly8/

でもこれはアメリカにだけ払わせるのもおかしな話では？

35 : 2025/04/16(水) 20:55:53.986 ID:P4kYSy.rs

>>19
あのさぁ
座を譲れ
金融工学に失敗したイギリスのように

20 : 2025/04/16(水) 20:48:05.370 ID:0rmgCK1u7

VRPのtenable一人勝ちきた？

22 : 2025/04/16(水) 20:49:02.008 ID:S8eVkK8YK

ぐうゼロディこれ

23 : 2025/04/16(水) 20:49:08.975 ID:VH1tTaU/I

今まではアメリカの指示で脆弱認定してたってことか

24 : 2025/04/16(水) 20:49:58.487 ID:RAOwton.E

これないとヤバいからEUや日本が普通に金だすわ

25 : 2025/04/16(水) 20:50:18.977 ID:S8eVkK8YK

タァンプ「アメリカは全世界から搾取されてきた」

26 : 2025/04/16(水) 20:50:51.343 ID:FQ8Wgq02v

これでもう脆弱性の対応しなくて済むんやな！

27 : 2025/04/16(水) 20:51:27.603 ID:nxOxcldmf

ワイのCloudflareになんか影響ある？

28 : 2025/04/16(水) 20:52:36.371 ID:0rmgCK1u7

これMicrosoftは困らんのか？

29 : 2025/04/16(水) 20:52:47.906 ID:2Ij5Wrc9g

情報処理安全確保士試験受けるんやけど関係あるか

30 : 2025/04/16(水) 20:54:08.163 ID:XkPQkOnji

観測しなきゃ存在しない扱いや

31 : 2025/04/16(水) 20:54:11.260 ID:/j89R8tnA

サーバールームに入れないと実行できないクソみたいな脆弱性ならともかく👻や🫠みたいなのが出てきたらどうすんねん

34 : 2025/04/16(水) 20:55:13.322 ID:b2q.OJTn7

>>31
絵文字脆弱性かわいい🥺

32 : 2025/04/16(水) 20:54:39.675 ID:TRrgkMRGZ

国土安全保障省なんて聞いたことねえなと思ったらアメリカか

36 : 2025/04/16(水) 20:59:33.967 ID:6w143mr0.

NISTのフレームワークとか日本も使いまくってるけどここも止まりそう
まぁ増える項目余計なの多いからワイは楽になるから良いんだけど