KEVを用いたEPSSの効果検証

KEVを用いたEPSSの効果検証

まず、実際にKEVに登録された脆弱性のEPSSスコアがどのような数値を示していたかについて解説します。

EPSSは「今後30日以内に悪用が行われる可能性」を示すものであることから、KEVに掲載された日を起点として、過去30日間のスコアについて確認を行いました。

検証条件

今回の検証では下記の条件のもと、確認を行っています。

調査データ取得日

前提条件と留意事項

• 本検証において「EPSSスコア」と単独で呼称する場合は、EPSSのProbability（悪用される可能性をパーセンテージで示した値）のことを指す。
• 2022年2月にEPSSのメジャーバージョンアップが行われたことにより、2022年2月1日を起点としてEPSSスコアが大きく変化している。そのため、2022年2月1日以前のEPSSスコアは本検証において考慮しない。
• EPSSスコアは、FIRST EPSS APIより取得している。KEVに公開された日を基準としており、実際の調査日のEPSSスコアは利用していない。

上記の前提のもと、KEVに登録された脆弱性のEPSSスコアを確認したところ、次のようなことが分かりました。

検証結果①：EPSSは全ての脆弱性をカバーしているわけではない

EPSSの基礎データはNVD（National Vulnerability Database）などのデータソースより情報を取得しています。そのため、当然ながらNVDなどに情報がない脆弱性については、EPSSにスコアが登録されることはありません。

PwCが行った調査では、MITRE CVE Listに脆弱性が掲載されてから、当該脆弱性がNVDに登録されるまでの期間は平均して70日ほど要しています。その期間に脆弱性が悪用され、KEVに登録されたケースなどが該当すると推測されます。

検証結果②：KEV公開前30日間におけるEPSSスコアの変動は多くない

KEV公開日から過去30日間のEPSSスコアの変動を確認したところ、変動があったものは全体の18.5%でした。また、スコア変動が起きた脆弱性のうち、10%以上のEPSSスコアの変動があったものは全体の5%と、割合としてはかなり低い結果となっています。

また、EPSSスコアに変動があった脆弱性の中で過去30日の間に2回以上変動した脆弱性は、およそ13%と比較的少ない数値でした。これは検証データ全体の2%程度にあたります。

今回の検証の範囲においては、EPSSスコアは最初に公開された値から急激に変化することは少なく、またEPSSスコアは短期間で頻繁に変化が起きるものではないと考えられます。

検証結果③：悪用が確認された脆弱性のEPSSスコアは必ずしも高くはない

悪用が確認された脆弱性のKEV公開30日前のEPSSスコアを確認すると、比較的高いEPSSスコアを示す脆弱性が一定数確認できた一方、半数以上はEPSSスコアが10%未満でした。このように実際に悪用された脆弱性であっても、必ずしも30日前時点でのEPSSのスコアが高いわけではなく、相対的に見て低いEPSSスコアでも悪用は行われています。すなわち、「EPSSスコアが低い＝悪用される可能性が低い」というわけではないことが示されています。

検証結果④：CVE発行年度が古い脆弱性ほどEPSSスコアが高くなる傾向にある

CVEが発行された年度単位でEPSSスコアの差異を検証したところ、古い脆弱性ほどEPSSスコアが高くなる傾向にあることが確認できました。調査対象期間中、KEVには比較的古い脆弱性から新しい脆弱性まで幅広く登録されています。比較のため、少し古い脆弱性のグループとしてCVEの発行年度が2018年以前の脆弱性と、最近の脆弱性のグループとしてCVEの発行年度が2022年から2023年の脆弱性に分け、そのEPSSのスコアの差分を見た結果が以下となります。

図に示したように、古い脆弱性の多くは高いEPSSスコアを示した一方、比較的新しい脆弱性はEPSSスコアが低い傾向が見られました。EPSSスコアの算出ロジックは日々進化しており、また具体的な計算式が公開されていないことから仮説の域を出ませんが、この理由としては大きく2つ考えられます。

まず1つ目としてはEPSSスコアの算出ロジックに「脆弱性が発生してからの経過日数」が含まれていることです。そして、2つ目として古い脆弱性ほど広くその情報や攻撃ツールなどが公開されているため、それらがEPSSスコアの上昇に寄与している可能性が高いことです。このことより、古い脆弱性ほどEPSSスコアが高くなる傾向があると考えられます。