CyberCrewでは、ホワイトハッカーによるリサーチ活動の一環として、Coordinated Vulnerability Disclosure(CVD:協調的脆弱性開示)の考え方に基づいた脆弱性報告を行っています。
CVDは、開発者や利用者の安全を最優先に考え、ゼロデイ脆弱性を含む未公開のセキュリティ上の問題を、責任ある形で共有・開示するための国際的に認知されたアプローチです。
このプロセスでは、発見された脆弱性を直ちに公開するのではなく、まず対象となるベンダーへ非公開かつ慎重に報告を行います。
その後、ベンダーが修正やパッチの開発・提供を行うために必要な時間を確保し、安全が担保された段階でのみ、脆弱性情報が公開されます。
このような協調的な取り組みにより、攻撃者に先行して対策が講じられる可能性が高まり、結果として社会全体のサイバーリスク低減につながります。
責任ある脆弱性開示は、以下のような多面的な効果をもたらします。
システム管理者が、公開後すみやかにセキュリティパッチを適用できる
セキュリティ製品やWAF、IDS/IPSなどの防御ルールが迅速に更新される
脆弱性診断・セキュリティ評価ツールが、新たな検出ロジックを実装できる
他のベンダーやOSSコミュニティが、自社製品・利用ライブラリへの影響を検証できる
本ページでは、CyberCrewのリサーチ活動を通じて発見・報告されたCVE情報を集約しています。
掲載している脆弱性は、ベンダーによる修正対応が完了し、公開に同意が得られたもののみを対象としています。
私たちは、攻撃者視点での技術理解と、社会的責任を両立させることが重要だと考えています。
責任ある情報開示を積み重ねることで、国内外のセキュリティコミュニティと協調し、より安全で信頼できるインターネット環境の実現に貢献していきます。
本ページでは、CyberCrewのリサーチ活動により報告・公開されたCVE、および発見時点で未公表(ゼロデイ)だった脆弱性のうち、関係各所と調整のうえ公開可能になった事例を掲載します。私たちは攻撃者視点の技術力と責任ある開示(Coordinated Vulnerability Disclosure)を軸に、社会全体のセキュリティ向上に貢献してまいります。
