FutureVuls Blog

本記事は、 「Trivy サプライチェーン攻撃：FutureVuls 配布バイナリの安全性検証レポート」の解説編です。検証レポートで実行した cosign verify や Rekor 透明性ログ検索が内部で何をしているのか、その信頼の仕組みを支える Sigstore エコシステム（Cosign / Fulcio / Rekor）を体系的に解説します。 この記事で扱うこと 2026 年 2 月 27 日〜3 月 2 日にかけて、hackerbot-claw と名乗る AI 自律型ボットが GitHub...

この記事の経緯 2026年2月24日、FutureVuls の定期リリースで trivy v0.69.1 のバイナリを GitHub Releases から取得しました。その4日後、trivy リポジトリが hackerbot-claw を名乗る自律型 AI エージェントによって侵害されました。バイナリの真正性検証を行い、改ざんがなかったことを確認してインシデント対応をクローズしています（検証レポート）。

脆弱性管理におけるCPE割り当ては重要ですが、「どのCPEを選べばいいか分からない」「確認に手間がかかる」といった課題があるかと思います。本記事では、2025年の4月にリリースした新機能を活用し、適切なCPEを判断するための実践的な方法を具体例と共に解説します。

Vulsで脆弱性スキャンをしているけれど――「公式 DB だけでは検知が足りない」「不要データでスキャンが重い」「社内アドバイザリもまとめて管理したい」。そんな悩みを解決するのが “自作 vuls.db”です。本記事ではVuls 初心者でも分かる手順でカスタム脆弱性データベースを構築し、1) 公式未採用ソースの追加、2) 不要ソースの削減、3) 独自データの取り込み――という3つのユースケースを具体例付きで解説します。

本記事ではEUサイバーレジリエンス法（CRA）におけるSBOM対応に焦点を絞って情報をまとめます。また、ドイツの BSI が発行している技術ガイドライン「TR-03183」を基に、CRA対応で求められる具体的なSBOMの形式要件について解説します。

スキャン対象サーバの数が多い場合の対処法として、リモートスキャンでスキャン結果を別々のグループにアップロードし、脆弱性を管理する方法をハンズオン形式で紹介します。

脆弱性DBとそれを構成する脆弱性データソースから脆弱性情報を追跡する方法を紹介します。

サーバにインストールされているWordPressコア、プラグイン、テーマの一覧を取得し、脆弱性を検知するスキャンの設定方法をハンズオン形式で紹介します。

Linuxサーバの資産情報に潜む脆弱性を網羅的に検知し、FutureVulsでまとめて管理する方法をご紹介します。

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例（利用されたCVE-IDを含む）やFutureVulsを用いた具体的対策を紹介します。

ソフトウェア・サプライチェーンへの攻撃が世界規模で深刻化する中、Googleが提唱する**SLSA（Supply-chain Levels for Software Artifacts）**が注目を集めています。本記事では、大規模インシデントを背景に、SLSAがどのようにビルド環境の改ざんや悪意ある依存関係の混入を防ぎ得るのかを解説。脅威モデルや各レベルの概要、Provenanceによる改ざん検知の仕組み、そして現状の課題と将来のL4（再現可能ビルド）の方向性を紹介します。企業でサプライチェーンセキュリティを強化したい方に向け、導入のポイントや運用上の注意点も整理しました。

米国DoDの調達事例をベースにしたサプライチェーンセキュリティの重要性を、日本国内の企業システムや製造業に置き換えて解説。SBOMの現状や脆弱性管理の実情、具体的な事例（F-35やOSSコミュニティなど）を掘り下げます。なお、日本固有の事情は筆者による補足であり、動画内で言及されていない部分も含みます。

脆弱性管理において「本当に攻撃されるリスクを可視化したい」——そんなニーズから生まれたのがEPSS (Exploit Prediction Scoring System) です。「CVSS のスコアは高いけれど、実際にどのくらい攻撃されやすいのか分からない」「優先度を付けたいけれど修正すべき脆弱性が多すぎる」——企業のセキュリティ担当者が日々抱えるこうした課題を解決する鍵として、近年注目を集めています。本記事では、EPSS の基本的な概要から、従来の CVSS との違い、データパートナーの役割、機械学習モデルの仕組み、さらに具体的な導入上の注意点まで、これまでにないほど詳しく解説します。攻撃の「深刻度」だけでなく「実際に攻撃される確率」を加味することで、限られたセキュリティリソースを最大限に活かす新しい脆弱性管理のアプローチを一緒に見ていきましょう。

「CVSSスコアはHigh。でも本当に自社にとって“最優先”なのでしょうか？」 日々発表される膨大な脆弱性のなかで、企業が限られたリソースを最大限に活用し、的確に対処するためには、“誰がどんな視点で”評価するかが重要になります。そこで注目されているのが **SSVC (Stakeholder-Specific Vulnerability Categorization)**。アメリカの政府機関 CISA と CERT/CC が共同で開発し、すでに2020年から運用実績を蓄積しているフレームワークです。 本記事では、継続的な脆弱性管理SaaS「[FutureVuls](https://vuls.biz)」の視点を交えつつ、YouTubeの公式トレーニング動画を参考にSSVCを詳しく解説します。組織内の役割やリスク許容度に合わせた優先度付けを知りたい方は、ぜひ最後までご覧ください！

近年、ランサムウェアによる被害が後を絶ちません。しかも攻撃に使われるのは、最新の「ゼロデイ」だけではありません。古くから知られていながら放置されている脆弱性が、攻撃者にとっては“格好の獲物”になっています。本記事では、ランサムウェア・キャンペーンが狙う既知の脆弱性と、すぐに取り組める実践的対策について、具体例を交えながら解説します。企業や組織のセキュリティ対策を一歩先へ進めるヒントに、ぜひお役立てください。

大規模インシデントの最前線では、何が起きているのか――。年々巧妙化するサイバー攻撃やランサムウェアの実態を、【前編】では実際の事例とともに解説します。CODEBLUE 2024のセッションで注目を集めた、攻撃者の侵入手口や初動対応の“リアルな現場”を知ることで、企業や組織が取るべき効果的な対策が見えてきます。後編とあわせて、最新の脆弱性管理や防御策を学ぶきっかけにぜひお役立てください。

SBOM（Software Bill of Materials）はソフトウェアのセキュリティやコンプライアンス管理において重要な役割を果たしますが、エンドユーザー視点ではまだ多くの課題が存在します。本記事では、SBOMの最新動向と課題解決に向けたアプローチ、そしてFutureVulsが提供する実用的なソリューションについて解説します。

ソフトウェア開発を効率化するうえで欠かせない CI/CD パイプラインですが、実は コマンドインジェクション や カスタムアクションを介したサプライチェーン攻撃 など、見過ごされがちなセキュリティリスクをはらんでいることをご存じでしょうか。特に GitHub Actions のように世界中で広く利用されているプラットフォームは攻撃者の標的になりやすく、万が一侵害されれば GitHub Token を通じてリポジトリ全体を乗っ取られる危険性もあります。本記事では、CI/CD に潜む脆弱性と対策のポイントをやさしく解説します。

脆弱性対応の優先度を決定するフレームワーク「SSVC（Stakeholder-Specific Vulnerability Categorization）」の最新版であるv2.1が2023年7月にリリースされました。このバージョンでは、判断基準がシンプル化されるとともに、リスク評価の精度が向上しています。FutureVulsもv2.1に対応し、設定の簡便化と運用効率の向上を実現しました。本記事では、v2.1の主な変更点と、それが組織のリスク評価やFutureVulsの運用にどのような影響を与えるかを詳しく解説します。

CSS2024（コンピュータセキュリティシンポジウム2024）にてFutureVulsが招待講演を行いました。本セッションでは、OSS脆弱性スキャナVulsを通じて見えてきた脆弱性管理の課題と解決策、VEXやReachabilityを用いたノイズ削除手法、SSVCやKEV,EPSSなどを活用した最新のリスク評価手法について解説しました。スライドと全文ログも公開していますので、ぜひご覧ください。

Vulsまつり#10では、脆弱性管理の最新技術をテーマに、多くの参加者が集まりました。その中でも注目を集めたのが、SSVC（Stakeholder-Specific Vulnerability Categorization）を使ったデモです。この記事では、そのデモをもとに、金曜日の午後にも効率的に脆弱性対応判断を行うための方法をご紹介します。

本ブログでは、最新のOpenSSHの脆弱性（CVE-2024-6387）に対する効果的な対応方法について解説します。特に、脆弱性管理ツールFutureVulsを使用することで、どのように迅速かつ効率的に脆弱性を検知し対応できるかを詳しく説明します。

2024年7月8日に開催された「ジョーシストーーク 脆弱性祭り～脆弱性の全体像と付き合い方～」のセッション「SSVC DeepDive」の内容です。https://cloudnative.co.jp/event/josystalk202406パッチの適用順序は、CVSSの高い脆弱性から。これでは実際の運用は回せません。SSVCは、攻撃者目線を取り入れた脆弱性評価フレームワークで、米国政府でも採用されています。本セッションでは、SSVCを活用することで、どのように脆弱性管理が改善されるのかを徹底解説します。CVSSだけでは不十分な方に必見の内容です。

米国CISAが推奨する脆弱性管理の優先順位付け手法であるSSVC（Stakeholder-Specific Vulnerability Categorization）の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは脆弱性をリスクベースで優先度付けするフレームワークですが、そのまま組織に適用すると人的工数と専門知識が必要です。講演者はSSVCの導入には自動化が肝要であると考え、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各Decision Pointを分解し、最近CISAから公開されたNVDを補完する脆弱性情報「Vulnrichment」などのデータソースとロジックを共有し、自動化のための現実的な実装方法を模索します。

脆弱性管理は企業のセキュリティ対策において重要な課題です。本記事では、効果的な脆弱性管理を実現するためのSSVC（Stakeholder-Specific Vulnerability Categorization）のExposure設定方法について解説します。FutureVulsを用いた実践的なアプローチやAmazon Inspectorを活用した自動調査手法も紹介します。