ロシアの脆弱性データベースは米国や中国のデータベースに比べるとはるかに薄いが、サイバースパイが悪用したセキュリティバグが驚くほど高い割合で含まれている。
レコーデッド・フューチャーのプリシラ・モリウチ氏とビル・ラッド博士は、このデータベースは非常に焦点を絞っているものの不完全で、更新が遅く、「ロシア政府によるテクノロジー企業とユーザーに対する支配を支援することを意図している可能性が高い」と結論付けた。
過去1年ほど、この脅威情報企業は、中国と米国の2カ国の国家脆弱性データベース(NVD)の公開速度、目的、有用性を調査してきました。そして、研究者たちは、同じ分析手法をロシアの脆弱性データベースに適用することを決定しました。
ロシアは一般的に、既知のコンピュータセキュリティ脆弱性のわずか10%しか公開しておらず、脆弱性の詳細をナレッジベースに反映させるまでの時間は、中国のNVDよりも平均83日、米国のNVDよりも平均50日遅い。遅れているだけでなく、データベースがカバーする技術は限られており、その内容も不完全である。
ロシアのNVDは、ロシア連邦技術輸出管理局(FSTEC)によって運営されている。FSTECは、国家の重要インフラシステムの保護と対諜報活動の支援という明確な任務を持つ軍事組織である。公共サービスとしての任務を主張する米国や中国とは異なり、NVDは国家安全保障に特化している。
「FSTECはその任務に必要なリソースが著しく不足しているわけではなく、公開された脆弱性の10%のみを報告するのは選択によるものであり、リソースの制約によるものではない」とRecorded Futureは述べた。
![脆弱性開示の遅延日数による各国の脆弱性データベースの比較 [出典: Recorded Future]](https://image.brawte.com/anejbkmn/e4/d2/vuln_disclosure_delay_comparison.webp)
異なるNVD間の開示遅延日数の比較[出典:Recorded Future]
「FSTECの主な焦点は、国内の情報技術環境の技術的管理であり、これはCNITSEC(中国の同等機関)よりもはるかに広範な任務です。」
FSTEC は、米国 NVD が設立されてから約 15 年後の 2014 年に脆弱性データを公開し始めました。
FSTECのNVDは、BDU(Банк данных угроз безопасности информации、データセキュリティ脅威データベース)とも呼ばれています。BDUは、米国のデータベースで報告された107,901件の脆弱性のうち、わずか11,036件(約10%)しか公開していません。FSTECは、このデータベースが網羅的であるとか、消費者や一般企業を対象としているなどと主張していません。焦点は、政府機関や「重要施設」で使用される情報システムの脆弱性にあります。
ロシアの政府系組織が悪用した脆弱性の5分の3(61%)は、FSTECのNVDで公開されています。Recorded Futureは、「これは標準値の10%を大幅に上回っていますが、ロシアの情報機関がFSTECのNVDの公開にどのような影響を与えたかを判断するにはデータが不十分です」と述べています。「FSTECが公開している数少ない脆弱性は、ロシア軍のサイバー攻撃作戦の意図よりも、FSTECの任務やロシアの国家情報システムについて多くのことを教えてくれます。」
Recorded Futureは、過去4年間にロシアのAPT(高度持続的脅威)グループによって悪用されたすべての脆弱性を分析しました。月曜日に、以下のことが明らかになりました。
ロシアの脆弱性データベースの典型的なエントリであるCVE-2018-8148のFSTEC BDUエントリ
FSTECは、主にロシア政府の情報システムに脅威となる脆弱性をBDUデータベースに登録しました。この偏りにより、セキュリティ研究者はロシア政府のネットワークで使用されている技術を推測する手段を得ました。
例えば、Linux、Microsoft、Novell、Appleは、IBMやHuaweiよりもはるかに優れたセキュリティ対策を講じていました。Adobeの脆弱性のほぼ半数がロシアのデータベースで発見されました。サイバースパイや一般の犯罪者にとって格好の餌食となる、重大または高リスクのAdobeのバグでさえ、多くが見落とされていました。ブラウザの脆弱性やMicrosoft Officeの脆弱性についても、同等かそれ以上のセキュリティ対策が講じられていました。
FSTECは、Recorded Futureが入手した翻訳によると、データベースには「主に国家情報システムや重要施設の生産・技術プロセスを管理するための自動化システムに特徴的な、情報セキュリティと脆弱性に対する主な脅威に関する情報が含まれている」と述べている。
脆弱性は、世界中のハッキングツールや情報機関によって悪用され、セキュリティ上のバグを利用して外国政府や企業をスパイする可能性がある。Recorded Futureは、例えばロシアはバグのインデックス作成に関して中国とは大きく異なる考え方を持っていると結論付けた。
「公開記録と入手可能なデータだけでは、FSTECとロシア政府が支援するサイバー作戦との関係を断定するにはまだ不十分だ」と、この企業は述べている。「しかしながら、FSTECの脆弱性データベースがロシアの情報機関によって利用されている方法は、CNNVDが中国の情報機関によって利用されている方法とは異なることは明らかだ。中国では、CNNVDは情報機関が利用する脆弱性の公開を遅らせたり隠蔽したりする一方、ロシアでは、FSTECが情報機関から身を守るために、情報機関が利用する脆弱性を公開している可能性がある。」
Recorded Future は、「FSTEC の脆弱性データベースは、州の情報システムのベースラインとなり、外国の技術レビューの正当な根拠となる」と結論付けました。®
