2025-05-02 リリース内容#

SSVC 精度向上のため、JPCERT/CC の Windows パッチ注意喚起を PoC 判定から除外#

JPCERT/CC が発表する Windows 定期セキュリティパッチの注意喚起を、Exploitation: PoC とみなさないように調整し、SSVC の判定精度を向上させました。

背景#

これまで FutureVuls では、JPCERT/CC が発表する Windows 定期セキュリティパッチの注意喚起 （例: https://www.jpcert.or.jp/at/2019/at190032.html）を 「PoC（概念実証コード）が公開済みの脆弱性」 と判定していました。

その結果、定期セキュリティパッチに含まれる多数の CVE が PoC あり と誤って評価され、対応すべき脆弱性を選定する際のノイズとなるケースがありました。

変更点#

以下の条件を満たすタスクについては、他の条件（例: Metasploit に攻撃モジュールが存在するなど）が 同時に成立しない限り、PoC あり と判定しないよう仕様を変更しました。

脆弱性詳細の警戒情報 欄に JPCERT/CC による Windows 定期セキュリティパッチの注意喚起のみが記載されている

条件を満たさない場合

上記 Windows 定例パッチの注意喚起 以外の JPCERT/CC の注意喚起は、 引き続き PoC あり と判定され、SSVC に反映されます。

効果#

Windows 月例パッチに関連するタスクが不要に PoC あり と判断されなくなります。
SSVC 優先度判定の精度が向上 し、ノイズが低減されます。
真に緊急対応が必要なタスクを迅速かつ的確に特定できます。