developersIO
[レポート]"本当の"脆弱性に注目せよ ― セキュリティで本当に重要なものを優先する - CODE BLUE 2025 #codeblue_jp #codeblue2025

[レポート]"本当の"脆弱性に注目せよ ― セキュリティで本当に重要なものを優先する - CODE BLUE 2025 #codeblue_jp #codeblue2025

CODE BLUE 2025
CODE BLUEセキュリティ
FacebookHatena blogX
2025.11.18

あしざわです。

本記事はCODE BLUE 2025で行われた以下のセッションのレポートです。

セッション情報

Today, an overwhelming number of vulnerabilities are being disclosed, making it increasingly difficult to distinguish those that actually impact real-world systems and enterprises. Many organizations have attempted to build filtering mechanisms to address this, yet it remains a complex and unsolved challenge. At the S2W Threat Research & Intelligence Center Center (a.k.a. Talon), we have developed and implemented a structured evaluation framework to assess these vulnerabilities. In this talk, we will introduce our internal project called "Vulnerability Structuring", walk through its development process and outcomes, and present real-world cases where this framework has been applied to actual services.

Speakers: Jongheon Yang(ヤン・ジョンヒョン), S2W INC.

レポート

Agenda

  • なぜ全ての脆弱性が同等でないのか
  • Talon Scoreとは何か
  • ケーススタディを通じた実例の紹介

全ての脆弱性が同等でない理由

  • どちらの脆弱性が危険か?
    • CVSSのベーススコアが高い方
  • どの脆弱性に対して優先的にパッチ適用すべきか?
    • ほとんどの方がベーススコアが高い方を選択する
    • しかし私たちは低い方を選択した
      • Talon Scoreがそちらの方が高いため

Talon Scoreとは

  • 実践型スコアリングシステム
  • いくつかの要素を組み合わせることで優先順位の決定をサポートする
  • CVSSではHighやCriticalが半数以上を占めている
  • 先ほどの脆弱性では
    • 30日以内に悪用される可能性1.4%
    • 全体の上位20%に位置している
  • この脆弱性は重要だと言えるのか?

Talon Scoreの構成要素

  • 脆弱性のリスクレベル / Attack Vector
    • CVSSが高いほど危険度が高く、攻撃が容易になる
  • 脆弱性の公開日
    • 古い脆弱性は既にパッチ適用されている可能性が高い
  • Poc / Exploit
    • PoCやExploit Codeが公開されているかどうかを示す指標
  • ITW(In The Wild)スコア
    • 実際の環境で悪用されているのか
    • 脅威アクターによって実際に使用されうるのかを判断できる
  • Trend
    • 多く言及されていると言うことはそれだけ流行していると言うこと
    • 一度流行った脆弱性の流行が再燃した場合は、大規模な攻撃の予兆かもしれない

Talon Scoreのスコアリング

  • 脆弱性のリスクレベル / Attack Vector
    • CVSSスコアが高いほど高いスコア
  • 公表日
    • 最近公開されたものほど高いスコア
    • 3年以上前の脆弱性は既に修正されていると考えられている
  • PoC / Exploit
    • 公開状況に応じて高いスコアを付与
    • 情報源の信頼性の高さで加算
    • 偽のPoCや情報の羅列では加算しないことが重要
  • ITW
    • 実際に攻撃が行われた履歴がある場合は高いスコアに
  • Trend
    • SNSや報道、ダークウェブで多く言及されるほど高いスコアに
    • 最近言及されているほど高いスコア、言及から時間が経っていれば低いスコアに

事例

  • Log4Shell:公開から4年
    • Talon Score:3.48 / 5
  • Citrix Bleed:公開から2年
    • Talon Score:3.91 / 5
      • 高いスコアが出た脆弱性は追加アラートを発行している
  • Chrome RCE:公開から1年
    • Talon Score:4.06 / 5
      • EPSSは低めだが、即時対応が必要なレベル

まとめ

  • 多数の脆弱性が報告されており、50%以上がHighの評価を受けている
  • 全ての脆弱性に対処して注意を払うことは現実的ではないので、重点的に対応すべき脆弱性を特定することが大切、その1つの指標としてTalon Scoreを提供
  • ASM (Attack Surface Management)と連携して運用することで、効率的に運用することが可能

感想

たくさん上がって対応しきれなくなる、というのはセキュリティアラートあるあるですよね。

対策として、紹介されたTalon Scoreのように複合的な基準を独自作成しスコアリングするのはよいアプローチだと思いました。

スコアリングだけでは運用が難しくなるだけなので、ASMのようなツール連携を用いて運用効率化にも触れられていて、いいなと思いました。

この記事をシェアする

FacebookHatena blogX

関連記事

[レポート]パネルディスカッション:AIとセキュリティの現在と未来 - CODE BLUE 2025 #codeblue_jp #codeblue2025
臼田佳祐
2025.11.18
[レポート]PerfektBlue:自動車業界を制圧する汎用ワンクリック・エクスプロイト - Mercedes-Benz、Volkswagen、Skoda - CODE BLUE 2025 #codeblue_jp #codeblue2025
臼田佳祐
2025.11.18
[レポート]Raspberry Pi Picoであらゆるマイクロコントローラーをハックする方法:トラフィック・モッキングによる簡易フォールト・インジェクション - CODE BLUE 2025 #codeblue_jp #codeblue2025
臼田佳祐
2025.11.18
[レポート]AI が全てを灼き尽くす〜天使か悪魔かそれとも〜 - CODE BLUE 2025 #codeblue_jp #codeblue2025
あしざわ
2025.11.18