定義
これは、米国政府による特定のソフトウェア欠陥のリストであり、現実世界で既に積極的な攻撃の対象になっていることが確認されている欠陥を記載したもので、単に理論的に危険な欠陥とは異なります。連邦機関はKEVリスト登録の問題を厳格な期限で修正する必要があり、このリストは民間企業によって何をまず修正するかの優先度シグナルとして広く使用されています。
なぜ重要か
AIインフラストラクチャの脆弱性(SharePointがCopilot知識ベースに情報を供給する場合、またはAIシステムのデプロイに使用されるリモートアクセスツールなど)がKEVリストに登録される場合、それは攻撃者が今それを積極的に悪用していることを示しており、いつかではなく、パッチ適用タイムラインに対する取締役会レベルの直ちの注意が必要です。