コンテンツにスキップ

2026-06-03 リリース内容#

スキャナの更新が必要です

今回のリリースにはスキャナの更新を必要とする機能改善が含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。

  • スキャナのバグ修正は最新版にのみ適用されます。
  • スキャナの更新方法はこちらです。自動更新オプションもご活用ください。
対象 スキャナバージョン スキャン実行スクリプト
Linux用 [NEW] vuls v0.39.2 Version: 2025/10
Windows用 [NEW] vuls v0.39.2 Version: 2025/04
Trivy [NEW] v0.70.0 [NEW] Version: 2026/06

今回のリリースでは、ソフトウェアサプライチェーン対策を中心に機能を強化しました。ソフトウェアの健全性を可視化する「ソフトウェアヘルス」、EU 脆弱性データベース(EUVD)・ENISA KEV への対応、悪用されている脆弱性(KEV)の即時通知、CVSS v4 の全面対応、SBOM 取り込み・出力の拡充などが主な内容です。なお、一部 API の削除・エラーレスポンス改善といった要対応の変更も含まれますので、自動連携をご利用のお客様はご確認ください。

重要なお知らせ#

【要対応】deprecatedにしていたSBOM関連のAPIを削除しました#

2025年11月リリースで deprecated として通知していた、/v1/lockfile/sbom の API エンドポイントを削除しました。 該当エンドポイントへのリクエストは 404 Not Found を返すようになるため、お客様の自動連携スクリプト等で該当の API を利用している場合は、後継の /v1/sbom への移行をお願いします。

【要対応】FutureVuls API のエラーレスポンスを改善しました#

FutureVuls API (rest.vuls.biz) のエラーレスポンスを以下のように改善しました。

  • 権限不足・パラメータ不正 → HTTP 400 で具体的なエラーメッセージを返却(従来は HTTP 500 「内部エラー」)
  • 未登録エンドポイント・未対応 HTTP メソッド → HTTP 404 / 405 で JSON 形式のエラーを返却(従来は空レスポンス相当)

既存の API 連携スクリプトが HTTP 500 系で例外を投げる実装になっている場合、本変更でエラーハンドリングの動作が変わる可能性があるため、自動連携処理の動作確認をお願いいたします。

重要な新機能・改善#

特にインパクトの大きい新機能・改善をピックアップして紹介します。その他の新機能は後述の「新機能追加」に記載しています。

ソフトウェア詳細タブを大幅に拡張し、「ソフトウェアヘルス」を可視化できるようになりました#

依存先の OSS は、公式にサポート終了(EOL)が宣言されていなくても、長期間メンテナンスが止まり 実質的に開発が放棄されている ことがあります。こうした「ゾンビ OSS」は脆弱性が修正されないまま放置されやすく、サプライチェーン攻撃の起点になり得ます。

本リリースでは、ソフトウェア詳細に「ソフトウェアヘルス」セクションを追加し、各 OSS の開発・メンテナンス状況を OpenSSF Scorecard などの客観的な指標 で可視化しました。「このソフトウェアを使い続けてよいか」を、印象ではなくデータに基づいて判断できます。

ソフトウェアヘルス

セクションでは、利用継続を判断するための材料として以下を表示します。

  • メンテナンス状況(Active 等):開発が継続しているか、実質的に停止していないか
  • サマリ:ソフトウェアの概要
  • Advisory:最新版でも未対応のまま残っているアドバイザリ件数および CVSS 最大値(残っていれば、メンテナンスが滞っている兆候として判断できます)
  • Health:ソフトウェア全体の健全性の概要(総合的な健全性レベル)
  • Security / Operations / Development:セキュリティ担当者・運用者・開発者それぞれの観点での評価サマリ(強み・弱点)
  • Recommendations:推奨アクション(次に取るべき対応の指針)
  • Repository:リポジトリ・最新安定版/最新版・ライセンス・Stars 等
  • 関連リンク:REPOSITORY / REGISTRY / DEPS.DEV / HOMEPAGE / SCORECARD

なお、上記の分析は パッケージの最新安定版 を対象とした評価です。サーバ内で検知した特定バージョン(express@4.17.1 等)に対する評価ではない点にご留意ください。

「実質 EOL(事実上の開発停止)」を検知できるようになりました#

公式にサポート終了(EOL)が宣言されていなくても、長期間メンテナンスが止まり、未修正の重大な脆弱性を抱えたまま放置されている OSS があります。こうしたパッケージは新たな脆弱性が監視されず、報告されても修正されないため、サプライチェーン攻撃の標的になりやすい「ゾンビ OSS」です。従来の SCA ツールでは「CVE なし」あるいは「CVE が 1 件あるだけ」と扱われ、見過ごされてきました。

本リリースでは、提供元の宣言やリポジトリのアーカイブで判定する 確定 EOL(EOL-Confirmed) に加えて、メンテナンスの停止状況や未修正の重大脆弱性などを組み合わせて 実質 EOL(EOL-Effective) と判定できるようになりました。公式には有効とされていても実態として開発が止まっている OSS を、客観的なデータに基づいて検知できます。判定結果は ソフトウェアヘルス から確認できます。

実質 EOL はサプライチェーンリスクのタスクとしては起票されません

実質 EOL(EOL-Effective)は、ソフトウェアヘルスやグループセットの検索で確認できます。ただし、サプライチェーンリスクのタスクとしての起票は行いません。タスクとして起票されるのは、確定 EOL(EOL-Confirmed)および EOL 予定です。

この判定には、当社が開発し OSS として公開している uzomuzo を取り込んでいます。uzomuzo の手法は、セキュリティカンファレンス FIRST VulnCon 2026 でも発表しています。

確定 EOL・実質 EOL をグループセットから組織横断で検索できるようになりました#

グループセットのソフトウェア一覧で、「注意すべき条件」から「EOL(メンテナンスステータス)」を選んで検索すると、グループセット配下の確定 EOL・実質 EOL のソフトウェアが一覧で表示されます。これまではグループ単位での確認が必要でしたが、CSIRT などのセキュリティ担当者が、組織全体に潜む EOL リスクを横断的に把握できます。

EU 脆弱性データベース(EUVD)・ENISA KEV に対応しました#

CRA(Cyber Resilience Act)の脆弱性報告義務(2026 年 9 月 11 日施行)への準備として、EU 脆弱性データベース(EUVD)を新たな脆弱性ソースとして取り込みました。あわせて、EU 圏の悪用情報源である ENISA KEV を CISA KEV / VulnCheck KEV と並ぶ脅威情報として取り込んでいます。

悪用されている脆弱性(KEV)を検知した際に即時通知できるようになりました#

KEV(CISA KEV / VulnCheck KEV / ENISA KEV)情報をもとに「実際に悪用されている脆弱性」を検知した際に、メール・Slack・Teams で即時通知する仕組みを追加しました。登録されているサーバに悪用されている脆弱性が見つかった場合、タスク単位で通知されます。通知対象はグループ設定から選択できます。

PSIRT プランではデフォルトで有効です

PSIRT プランをご契約のオーガニゼーションでは、本通知がデフォルトで有効になります。

悪用されている脆弱性通知

CVSS v4 を一覧画面・FutureVuls API・各種フィルタ・通知で扱えるようになりました#

これまで CVSS v4 のみが提供される脆弱性が一覧・FutureVuls API・重要フィルタから漏れる事象が発生していましたが、本リリースで以下のように CVSS v4 に対応しました。

  • 一覧・FutureVuls API:CVSS v4 のスコアおよび最大値を一覧表示・API 取得で扱えるようにしました。
  • 重要フィルタ・自動トリアージ:重要フィルタおよび自動トリアージ(自動脆弱性優先度・自動非表示設定・タスク優先度ルールセット)の判定対象に CVSS v4 を追加しました。
  • CSV レポート:CVSS v4 のスコア・ベクターの列を追加しました。
  • 通知:自動トリアージの通知メールに CVSS v4 スコアを表示するようにしました。また、Daily / Weekly レポートの「重要な未対応」件数の判定(重要フィルタ)にも CVSS v4 スコアが反映されます。これにより、これまでの「重要な未対応」件数が変動する場合があります。ダッシュボードやレポートの件数を定点観測されている場合はご留意ください。

CVSS v2 列の削除予告

本リリースでは CVSS v2 列は残しますが、今後のリリースで削除予定です。ダッシュボード・自動連携等で v2 列を参照されているお客様は v3 / v4 への移行をご検討ください。

CVSS ベクター(基本評価基準)での絞り込みは CVSS v3 のみが対象です

重要フィルタや自動トリアージにおける「CVSS Vector(基本評価基準)」での絞り込みは、現時点では CVSS v3 のベクターのみを判定対象としています(CVSS v4 のベクターは対象外)。CVSS スコアでの絞り込みは v2 / v3 / v4 に対応しています。

ライブラリの直接依存/間接依存を判別し、間接依存の更新元を逆引きできるようにしました#

ライブラリスキャン結果に「直接依存(direct)/間接依存(indirect)」などの依存種別を保存するようにしました。ソフトウェア一覧画面で依存種別による絞り込みができ、各ライブラリがアプリケーションから直接参照されているか、他のライブラリ経由で取り込まれた推移的依存かを判別できます。

また、間接依存ライブラリについては「どの直接依存ライブラリを更新すれば解消できるか」という依存元情報をソフトウェア一覧画面から確認できるようになりました。間接依存の脆弱性に対する対応方針(どのライブラリを上げれば対象の間接依存が更新されるか)を判断しやすくなります。

SBOM 由来のライブラリの依存状態

SBOM に含まれるアプリケーションライブラリの場合、依存状態は SBOM に記載されている依存関係に従って導出されます。 そのため、「SBOM に依存関係が記載されていない」「SBOM に記載されている依存関係が誤っている」場合には、実態に沿わない依存状態が記載される場合があります。 必要に応じて、SBOM を生成した元のソース側でも依存状態を確認するようにお願いします。

新機能追加#

今回のリリースでは、SBOM の取り込み・出力に関する機能を中心に拡充しました(次の4項目)。あわせて SBOM 関連の不具合修正も実施しています。

公式対応ツール以外で生成された SBOM も取り込めるようになりました#

これまでは、FutureVuls に取り込める SBOM は特定のツールで生成されたものに限定していました。 本リリースで、標準の CycloneDX / SPDX の仕様に従った SBOM であれば、公式に対応していないツールで生成された SBOM であってもインポートできるようになりました。

SBOM の公式対応ツールを拡充しました#

SPDX 形式で出力した FutureVuls 製の SBOM#

これまでは FutureVuls から出力した SBOM は CycloneDX 形式に限って取り込めました。 本リリースから、SPDX 2.3 形式の SBOM についても正式に対応しました。

CycloneDX Gradle Plugin で生成されたSBOM#

CycloneDX 公式の Gradle プラグイン(cyclonedx-gradle-plugin)で生成された SBOM ファイルを FutureVuls でインポートできるようになりました。 Java / Gradle プロジェクトの CI から SBOM を出力して脆弱性管理ができます。

SBOM 内の要素の取り込み対応範囲を拡張しました#

SBOM 取り込み処理の以下の点を機能改善しました。

  • CycloneDX 形式での component.type の取り込み対象を拡張しました。firmwaredevice などもインポート対象になります。
  • SBOM 内に含まれるアプリケーション自体をソフトウェアエントリとして取り込むようにしました。
  • SBOM から Private Package として取り込まれるソフトウェアに記載されているライセンス情報を取り込めるようにしました。

SBOM出力時にライセンス情報も補完されるようになりました#

サーバ詳細画面の、構成情報と脆弱性情報を含む SBOM をエクスポートする機能に関して、ソフトウェアのライセンス情報を SBOM へ含めるようになりました。

AWS ECR 連携サーバの最新スキャンイメージ情報を FutureVuls API から取得できるようになりました#

サーバ一覧・サーバ詳細の FutureVuls API のレスポンスに、AWS ECR 連携サーバの最新スキャンイメージ情報(イメージ名・タグ)を含めるようにしました。GitHub Actions 等の自動化スクリプトでイメージ情報を取得し、定期 Pull 等の運用に活用いただけます。

GitHub Security Alerts 連携で取り込まれたソフトウェアに PURL が自動割り当てされるようになりました#

GitHub Security Alerts 連携で登録されたソフトウェアに対し、PURL(Package URL)が自動割り当てされるようになりました。これにより、手動登録なしでサプライチェーン系の機能(EOL 検知、GHSA マッチング等)がデフォルトで利用できます。

サプライチェーンリスク情報を FutureVuls API から取得できるようになりました#

これまでコンソール画面の「サプライチェーンリスク」タブでのみ確認できたサプライチェーンリスク情報を、FutureVuls API から取得できるようになりました。EOL はもちろん、マリシャスパッケージとして検知されたパッケージ情報もまとめて取得できます。

グループおよびグループセットのいずれでも取得でき、グループに所属していない CSIRT ユーザでも、配下の全グループのサプライチェーンリスク情報を一括で取得できます。

詳しい取得方法は API ドキュメント を参照してください。

自社製品などの EOL 情報(非公開 EOL)をオーガニゼーションごとに登録できるようになりました#

公式の endoflife.date に掲載されていない自社製品や商用ソフトの EOL 情報を、オーガニゼーション内で登録できるようになりました。登録した情報はサプライチェーンリスクの検知対象となり、公式 endoflife.date の情報よりも優先して扱われます。社内の非公開パッケージの EOL を、既存の EOL 検知と同じ画面・ワークフローで一元管理できます。

これまで、公式の endoflife.date 未掲載のソフトウェアの EOL を検知対象とするには、お問い合わせベースで公開リポジトリ(vuls-saas/endoflife.date)への登録が必要でした。公開リポジトリへの登録では EOL 情報が社外に公開されますが、本機能なら社外に公開することなくオーガニゼーション内で登録・管理できます。

登録・更新・削除は FutureVuls API から行えます。詳しい登録方法は「非公開 EOL 情報の登録」をご覧ください。

公式の EOL 検知情報を最新化し、判定精度を向上しました#

FutureVuls の EOL(End of Life:脆弱性が見つかっても修正されないサポート終了状態)検知に用いる公式の判定情報を最新化しました。PHP / Ruby / Go / Java / JavaScript / .NET / Python の各パッケージエコシステムについて、サポート終了の判定を見直しています。

今回は README のキーワード(deprecated 等)に頼らず、各パッケージの公式配布サイトや GitHub の一次情報(最新バージョンの公開日・リポジトリのアーカイブ状況・後継への移行宣言など)を実際に確認しました。その結果、誤検知を抑えてより正確な EOL 判定ができます。たとえば「README に deprecated と記載があっても、実際はパッケージ内の一機能を指すだけ」といったケースでの取り違えが減ります。

判定情報は定期的に最新化しています。更新内容は自動で検知へ反映されるため、特別な操作なくご利用いただけます。

仕様変更#

SSVC の Exploit (PoC) 判定および Exploit の詳細情報から GitHub 上の PoC を除外しました#

信頼性の観点から、SSVC の Exploit (PoC) 判定および Exploit の詳細情報の対象から、GitHub 上の PoC リポジトリ情報を除外しました。

既存の SSVC 判定値・Exploit 件数が変化する場合があります

GitHub 上の PoC のみが Exploit として紐づいていた脆弱性については、SSVC の Exploit 判定値や Exploit 件数が変化する場合があります。SSVC を自動トリアージや優先度判断に利用されている場合は、判定結果の変化にご留意ください。

EOL データソースの追加要望リクエストフォームを廃止しました#

非公開 EOL 情報をオーガニゼーション内で登録できるようになったため、EOL データソースの追加要望に関するリクエストフォームを廃止しました。endoflife.date 未掲載のソフトウェアの EOL を検知対象にしたい場合は、非公開 EOL 情報の登録をご利用ください。

重要なバグ修正#

タスク詳細 FutureVuls API のレスポンスキー不整合を修正しました#

以下のタスク詳細系 FutureVuls API のレスポンスについて、ドキュメント記載のキー名(pkgCpes)と実際のレスポンスのキー名(serverSoftwares)が一致していなかった問題を修正しました。

Operation Method Path
getTaskDetail GET /v1/task/{taskID}
updateTask PUT /v1/task/{taskID}
addTaskComment POST /v1/task/{taskID}/comment
getGroupSetTaskDetail GET /v1/groupSet/task/{taskID}
addGroupSetTaskComment POST /v1/groupSet/task/{taskID}/comment

互換性維持のため、レスポンスには serverSoftwares(正式キー)と pkgCpes(deprecated)の両方を含むようにしています。今後の新規連携では serverSoftwares をご利用ください。pkgCpes は移行猶予期間を経て、将来のリリースで削除予定です。

SBOM関連機能の問題を修正しました#

SBOM 取り込み処理の以下の不具合を修正しました。

  • FossID 製 CycloneDX 1.6 形式の SBOM を取り込めない問題
  • SPDX 形式の SBOM で一部コンポーネントを取り込めない問題
  • Syft で生成した Oracle Linux サーバの取り込みに失敗する問題
  • SBOM に github-action-workflow 等の長いコンポーネント type 名が含まれる場合に、SBOM 取り込みが失敗していた問題

また、その他の SBOM 機能に関する不具合を修正しました。

  • SBOM エクスポート時に、あるソフトウェアとそれに割り当てられていた CPE が二重に構成情報として記載されていた問題
  • Red Hat サーバに含まれる rpm 系のコンポーネントについて一部脆弱性が検知されない問題
  • Windows サーバを SBOM 出力した際に、適用済み KB 情報が含まれていなかった問題

一覧テンプレでフィルタ条件が一部反映されない問題を修正しました#

保存した一覧テンプレを適用した際に「空である/空でない」のフィルタ条件が反映されない問題を修正しました。

SSO ログイン用 URL を開いた際に通常ログイン画面に遷移してしまう問題を修正しました#

ログアウト状態で SSO ログイン用 URL をブックマーク等から開いた際に、SSO ログイン画面ではなく通常ログイン画面に遷移してしまう問題を修正しました。

Library / WordPress / AWS Lambda のタスクで「アップデートパッチがでるまで非表示」が設定できない問題を修正しました#

タスク詳細の非表示設定で「アップデートパッチがでるまで」を選択した際、Library / WordPress / AWS Lambda で検知した脆弱性のタスクではエラーとなり設定できない問題を修正しました。あわせて、これらのタスクでもパッチ提供時の通知・コメントが正しく行われるようになりました。

UI/UX 改善#

一覧画面の初期表示カラムを最小化し、テンプレートで切り替えられるようにしました#

一覧画面の初期表示カラムを大幅に削減しました。初めてご利用いただくお客様から「多数のカラムに戸惑った」というご指摘をいただいていたため、判断に必要な最低限の情報のみを表示しています。

これまでにあった列は「列一覧」から表示するとこれまで通りご利用いただけます。また、いくつかの一覧画面に対しては「一覧テンプレ」に推奨一覧のテンプレートを用意しています。こちらは操作に慣れた段階でお試しください。

設定画面に「高度な設定」の折りたたみを導入しました#

設定画面を再構成し、日常の管理に必要な項目のみを初期表示するようにしました。「FutureVuls API」や「重要な未対応の条件」等の応用的な設定項目は「高度な設定」配下に折りたたみ表示し、必要に応じて展開して操作できます。

高度な設定の折りたたみ

こちらも設定項目数の多さから「どこから手を付ければよいか分かりづらい」というお声を反映しています。

トークン・Vuls プロキシパスワード等のシークレット情報を伏字(マスキング)表示するようになりました#

以下のシークレット情報について、伏字(マスキング)で表示するように変更しました。

  • トークン一覧のトークン文字列
  • サーバスキャン追加画面の curl コマンド(インストールコマンド全体を伏字化)
  • その他設定画面の API キー等

マスキングされた文字をクリックすると、表示/非表示の切り替え、または対象文字列のクリップボードへのコピーができます。

ショルダーハック等によるシークレットの漏洩リスク軽減を目的としています。

Teams 通知でも通知種別ごとに ON/OFF を切り替えられるようになりました#

これまで Teams Webhook 連携では通知種別ごとの個別制御ができませんでしたが、Slack App と同様に「Daily レポート / トピック作成 / 警戒タグ作成 / 重要フィルタ変更 / Immediate タスク / 悪用されている脆弱性 / スキャンエラー」の通知種別ごとに ON/OFF を切り替えられるようになりました。グループ設定の Teams Webhook 設定から選択できます。

Microsoft Teams への通知の表示幅を拡大しました#

Teams 通知カードのレイアウトを改善し、脆弱性情報やサーバ名などの長い文字列も折り返さず表示できるようになりました。Teams 上での通知の視認性が向上します。

その他#

主に脆弱性詳細画面およびタスク詳細画面において、画面レイアウトや色調の調整を実施しました。

パフォーマンス改善#

グループ脆弱性一覧 / グループセット脆弱性一覧 API のレスポンスを高速化しました#

グループ脆弱性一覧 API(getCves)およびグループセット脆弱性一覧 API(getGroupSetCves)について、クエリ最適化等のチューニングを行いレスポンスを高速化しました。大規模なグループ / グループセットを管理されているお客様において、画面表示・API レスポンスの体感が改善されます。

ご不明な点がございましたら、サポートチームまでお問い合わせください。