「KnownExploitedVulnerability(KEV)は米国のサイバーセキュリティとインフラストラクチャセキュリティ庁(CISA)が管理する、過去に不正行為で利用されたと確認された脆弱性のリストで、日本では「悪用された脆弱性」や「既知の悪用された脆弱性」、さらには「悪用済み脆弱性」と表現されます。APTやサイバー攻撃者たちにより悪用されたことが確定した、これらの脆弱性をKEVはリストアップし、継続的にアップデートを行っているのです。KEVに掲載されるための基本的な条件としては、CVEが認定されていること、その脆弱性が悪用された証拠があること、そして適切な対策手段が存在することが挙げられます。
悪用が確認されている脆弱性とは
- CISA, CVE, KEV, サイバーセキュリティ, 脆弱性
