Cloud-based vulnerability management SaaS built on Vuls.
| Item | Value |
|---|---|
| Type | SaaS |
| License | Proprietary |
| Pricing | Paid |
| Homepage | https://vuls.biz |
| Latest Version | 2026-06 [Hotfix] |
| Last Updated | 2026-06-01 |
| Feature | Supported |
|---|---|
| Container Scanning | ✅ |
| Language/Library Scanning | ✅ |
| SBOM Generation | ✅ |
| Policy Evaluation | ❌ |
| IaC Scanning | ❌ |
| Secret Detection | ❌ |
| License Scanning | ✅ |
| Build Tool Plugin | ❌ |
| API Server | ❌ |
| Agentless SSH Scanning | ❌ |
| Dashboard | ✅ |
| Centralized Management | ✅ |
Feature reference: Official Documentation
Source: https://help.vuls.biz/releasenotes/
security2026-06 [Hotfix]
2026-06 Hotfix リリース内容
今月の Hotfix リリースでは、以下を修正しました。 リリース内容に関して、ご不明点やご質問がございましたら、 サポート窓口 にお問い合わせください。 2026-06-15 リリース内容
スキャナの更新が必要です 本不具合の修正にはスキャナの更新が必要です。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。 スキャナのバグ修正は 最新版にのみ適用 されます。 スキャナの更新方法は こちら です。自動更新オプションもご活用ください。 対象 スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.39.3 Version: 2025/10 Windows用 [NEW] vuls v0.39.3 Version: 2025/04 一部のロックファイルの解析に失敗するとスキャン結果全体が登録されない不具合を修正
複数のロックファイル( package-lock.json や go.mod 等)のうち1つでも解析に失敗すると、 スキャン結果全体が登録されない 不具合を修正しました。本事象は、次のスキャン方法で発生していました。 Vuls Scanner で Lockfile を指定したスキャン Lockfile のペーストスキャン 本不具合では、解析に失敗したロックファイルだけでなく、OS パッケージ・他の正常なロックファイル・脆弱性の検知結果まで FutureVuls に反映されませんでした。そのため、対象期間中は本来検知されるべき脆弱性を一覧で確認できず、検知漏れが発生していた可能性があります。Vuls Scanner の更新と再スキャンにより、最新の検知状態へ復元されます。 影響を受ける対象のお客様
2026年6月3日の定期リリース(Vuls Scanner v0.39.2)から本 Hotfix リリース(2026年6月15日)までの期間に上記のスキャンを実施し、解析に失敗するロックファイルを含んでいたお客様が対象です。 修正内容
解析に失敗したロックファイルのみをスキップし、OS パッケージ・他の正常なロックファイル・脆弱性の検知結果はこれまでどおり登録するようになりました。 スキップしたロックファイルがある場合は、既存のスキャンエラー通知でファイル名をお知らせします。 以下のロックファイルのパースに失敗しました。 - my-app/package-lock.json ※OSや他の正常なライブラリのスキャン結果はFutureVulsに反映されています。 不具合の修正方法
ご利用のスキャン方法に応じて、以下のとおりご対応ください。 Vuls Scanner でスキャンしている場合 : 本修正を反映するため、Vuls Scanner を最新版(v0.39.3)へ更新のうえ、再度スキャンを実施してください。 Lockfile のペーストスキャンの場合 : FutureVuls 側で対応済みのため、特別なご対応は不要です。 また、スキャンエラー通知でロックファイルのパース失敗をお知らせした場合、対象のロックファイル自体に問題があります。当該ロックファイルを修正して再度スキャン(またはペースト登録)いただくと、そのロックファイルに含まれるライブラリの脆弱性も検知できるようになります。
security2026-06-03
2026-06-03 リリース内容
スキャナの更新が必要です 今回のリリースにはスキャナの更新を必要とする機能改善が含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。 スキャナのバグ修正は 最新版にのみ適用 されます。 スキャナの更新方法は こちら です。自動更新オプションもご活用ください。 対象 スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.39.2 Version: 2025/10 Windows用 [NEW] vuls v0.39.2 Version: 2025/04 Trivy [NEW] v0.70.0 [NEW] Version: 2026/06 今回のリリースでは、ソフトウェアサプライチェーン対策を中心に機能を強化しました。ソフトウェアの健全性を可視化する「ソフトウェアヘルス」、EU 脆弱性データベース(EUVD)・ENISA KEV への対応、悪用されている脆弱性(KEV)の即時通知、CVSS v4 の全面対応、SBOM 取り込み・出力の拡充などが主な内容です。なお、一部 API の削除・エラーレスポンス改善といった要対応の変更も含まれますので、自動連携をご利用のお客様はご確認ください。 重要なお知らせ
【要対応】deprecatedにしていたSBOM関連のAPIを削除しました
2025年11月リリース で deprecated として通知していた、 /v1/lockfile/sbom の API エンドポイントを削除しました。 該当エンドポイントへのリクエストは 404 Not Found を返すようになるため、お客様の自動連携スクリプト等で該当の API を利用している場合は、後継の /v1/sbom への移行をお願いします。 【要対応】FutureVuls API のエラーレスポンスを改善しました
FutureVuls API ( rest.vuls.biz ) のエラーレスポンスを以下のように改善しました。 権限不足・パラメータ不正 → HTTP 400 で具体的なエラーメッセージを返却(従来は HTTP 500 「内部エラー」) 未登録エンドポイント・未対応 HTTP メソッド → HTTP 404 / 405 で JSON 形式のエラーを返却(従来は空レスポンス相当) 既存の API 連携スクリプトが HTTP 500 系で例外を投げる実装になっている場合、本変更でエラーハンドリングの動作が変わる可能性があるため、自動連携処理の動作確認をお願いいたします。 重要な新機能・改善
特にインパクトの大きい新機能・改善をピックアップして紹介します。その他の新機能は後述の「 新機能追加 」に記載しています。 ソフトウェア詳細タブを大幅に拡張し、「ソフトウェアヘルス」を可視化できるようになりました
依存先の OSS は、公式にサポート終了(EOL)が宣言されていなくても、長期間メンテナンスが止まり 実質的に開発が放棄されている ことがあります。こうした「ゾンビ OSS」は脆弱性が修正されないまま放置されやすく、サプライチェーン攻撃の起点になり得ます。 本リリースでは、ソフトウェア詳細に「ソフトウェアヘルス」セクションを追加し、各 OSS の開発・メンテナンス状況を OpenSSF Scorecard などの客観的な指標 で可視化しました。「このソフトウェアを使い続けてよいか」を、印象ではなくデータに基づいて判断できます。 セクションでは、利用継続を判断するための材料として以下を表示します。 メンテナンス状況 (Active 等):開発が継続しているか、実質的に停止していないか サマリ :ソフトウェアの概要 Advisory :最新版でも未対応のまま残っているアドバイザリ件数および CVSS 最大値(残っていれば、メンテナンスが滞っている兆候として判断できます) Health :ソフトウェア全体の健全性の概要(総合的な健全性レベル) Security / Operations / Development :セキュリティ担当者・運用者・開発者それぞれの観点での評価サマリ(強み・弱点) Recommendations :推奨アクション(次に取るべき対応の指針) Repository :リポジトリ・最新安定版/最新版・ライセンス・Stars 等 関連リンク :REPOSITORY / REGISTRY / DEPS.DEV / HOMEPAGE / SCORECARD なお、上記の分析は パッケージの最新安定版 を対象とした評価です。サーバ内で検知した特定バージョン( express@4.17.1 等)に対する評価ではない点にご留意ください。 「実質 EOL(事実上の開発停止)」を検知できるようになりました
公式にサポート終了(EOL)が宣言されていなくても、長期間メンテナンスが止まり、未修正の重大な脆弱性を抱えたまま放置されている OSS があります。こうしたパッケージは新たな脆弱性が監視されず、報告されても修正されないため、サプライチェーン攻撃の標的になりやすい「ゾンビ OSS」です。従来の SCA ツールでは「CVE なし」あるいは「CVE が 1 件あるだけ」と扱われ、見過ごされてきました。 本リリースでは、提供元の宣言やリポジトリのアーカイブで判定する 確定 EOL(EOL-Confirmed) に加えて、メンテナンスの停止状況や未修正の重大脆弱性などを組み合わせて 実質 EOL(EOL-Effective) と判定できるようになりました。公式には有効とされていても実態として開発が止まっている OSS を、客観的なデータに基づいて検知できます。判定結果は ソフトウェアヘルス から確認できます。 実質 EOL はサプライチェーンリスクのタスクとしては起票されません 実質 EOL(EOL-Effective)は、ソフトウェアヘルスやグループセットの検索で確認できます。ただし、サプライチェーンリスクのタスクとしての起票は行いません。タスクとして起票されるのは、確定 EOL(EOL-Confirmed)および EOL 予定です。 この判定には、当社が開発し OSS として公開している uzomuzo を取り込んでいます。uzomuzo の手法は、セキュリティカンファレンス FIRST VulnCon 2026 でも発表しています。 確定 EOL・実質 EOL をグループセットから組織横断で検索できるようになりました
グループセットのソフトウェア一覧で、「注意すべき条件」から「EOL(メンテナンスステータス)」を選んで検索すると、グループセット配下の確定 EOL・実質 EOL のソフトウェアが一覧で表示されます。これまではグループ単位での確認が必要でしたが、CSIRT などのセキュリティ担当者が、組織全体に潜む EOL リスクを横断的に把握できます。 EU 脆弱性データベース(EUVD)・ENISA KEV に対応しました
CRA(Cyber Resilience Act)の脆弱性報告義務(2026 年 9 月 11 日施行)への準備として、EU 脆弱性データベース(EUVD)を新たな脆弱性ソースとして取り込みました。あわせて、EU 圏の悪用情報源である ENISA KEV を CISA KEV / VulnCheck KEV と並ぶ脅威情報として取り込んでいます。 悪用されている脆弱性(KEV)を検知した際に即時通知できるようになりました
KEV(CISA KEV / VulnCheck KEV / ENISA KEV)情報をもとに「実際に悪用されている脆弱性」を検知した際に、メール・Slack・Teams で即時通知する仕組みを追加しました。登録されているサーバに悪用されている脆弱性が見つかった場合、タスク単位で通知されます。通知対象はグループ設定から選択できます。 PSIRT プランではデフォルトで有効です PSIRT プランをご契約のオーガニゼーションでは、本通知がデフォルトで有効になります。 CVSS v4 を一覧画面・FutureVuls API・各種フィルタ・通知で扱えるようになりました
これまで CVSS v4 のみが提供される脆弱性が一覧・FutureVuls API・重要フィルタから漏れる事象が発生していましたが、本リリースで以下のように CVSS v4 に対応しました。 一覧・FutureVuls API :CVSS v4 のスコアおよび最大値を一覧表示・API 取得で扱えるようにしました。 重要フィルタ・自動トリアージ :重要フィルタおよび自動トリアージ(自動脆弱性優先度・自動非表示設定・タスク優先度ルールセット)の判定対象に CVSS v4 を追加しました。 CSV レポート :CVSS v4 のスコア・ベクターの列を追加しました。 通知 :自動トリアージの通知メールに CVSS v4 スコアを表示するようにしました。また、Daily / Weekly レポートの「重要な未対応」件数の判定(重要フィルタ)にも CVSS v4 スコアが反映されます。 これにより、これまでの「重要な未対応」件数が変動する場合があります。 ダッシュボードやレポートの件数を定点観測されている場合はご留意ください。 CVSS v2 列の削除予告 本リリースでは CVSS v2 列は残しますが、今後のリリースで削除予定です。ダッシュボード・自動連携等で v2 列を参照されているお客様は v3 / v4 への移行をご検討ください。 CVSS ベクター(基本評価基準)での絞り込みは CVSS v3 のみが対象です 重要フィルタや自動トリアージにおける「CVSS Vector(基本評価基準)」での絞り込みは、現時点では CVSS v3 のベクターのみを判定対象としています(CVSS v4 のベクターは対象外)。CVSS スコアでの絞り込みは v2 / v3 / v4 に対応しています。 ライブラリの直接依存/間接依存を判別し、間接依存の更新元を逆引きできるようにしました
ライブラリスキャン結果に「直接依存(direct)/間接依存(indirect)」などの依存種別を保存するようにしました。ソフトウェア一覧画面で依存種別による絞り込みができ、各ライブラリがアプリケーションから直接参照されているか、他のライブラリ経由で取り込まれた推移的依存かを判別できます。 また、間接依存ライブラリについては「どの直接依存ライブラリを更新すれば解消できるか」という依存元情報をソフトウェア一覧画面から確認できるようになりました。間接依存の脆弱性に対する対応方針(どのライブラリを上げれば対象の間接依存が更新されるか)を判断しやすくなります。 SBOM 由来のライブラリの依存状態 SBOM に含まれるアプリケーションライブラリの場合、依存状態は SBOM に記載されている依存関係に従って導出されます。 そのため、「SBOM に依存関係が記載されていない」「SBOM に記載されている依存関係が誤っている」場合には、実態に沿わない依存状態が記載される場合があります。 必要に応じて、SBOM を生成した元のソース側でも依存状態を確認するようにお願いします。 新機能追加
今回のリリースでは、SBOM の取り込み・出力に関する機能を中心に拡充しました(次の4項目)。あわせて SBOM 関連の不具合修正 も実施しています。 公式対応ツール以外で生成された SBOM も取り込めるようになりました
これまでは、FutureVuls に取り込める SBOM は特定のツールで生成されたものに限定していました。 本リリースで、標準の CycloneDX / SPDX の仕様に従った SBOM であれば、公式に対応していないツールで生成された SBOM であってもインポートできるようになりました。 SBOM の公式対応ツールを拡充しました
SPDX 形式で出力した FutureVuls 製の SBOM
これまでは FutureVuls から出力した SBOM は CycloneDX 形式に限って取り込めました。 本リリースから、SPDX 2.3 形式の SBOM についても正式に対応しました。 CycloneDX Gradle Plugin で生成されたSBOM
CycloneDX 公式の Gradle プラグイン( cyclonedx-gradle-plugin )で生成された SBOM ファイルを FutureVuls でインポートできるようになりました。 Java / Gradle プロジェクトの CI から SBOM を出力して脆弱性管理ができます。 SBOM 内の要素の取り込み対応範囲を拡張しました
SBOM 取り込み処理の以下の点を機能改善しました。 CycloneDX 形式での component.type の取り込み対象を拡張しました。 firmware や device などもインポート対象になります。 SBOM 内に含まれるアプリケーション自体をソフトウェアエントリとして取り込むようにしました。 SBOM から Private Package として取り込まれるソフトウェアに記載されているライセンス情報を取り込めるようにしました。 SBOM出力時にライセンス情報も補完されるようになりました
サーバ詳細画面の、構成情報と脆弱性情報を含む SBOM をエクスポートする機能 に関して、ソフトウェアのライセンス情報を SBOM へ含めるようになりました。 AWS ECR 連携サーバの最新スキャンイメージ情報を FutureVuls API から取得できるようになりました
サーバ一覧・サーバ詳細の FutureVuls API のレスポンスに、AWS ECR 連携サーバの最新スキャンイメージ情報(イメージ名・タグ)を含めるようにしました。GitHub Actions 等の自動化スクリプトでイメージ情報を取得し、定期 Pull 等の運用に活用いただけます。 GitHub Security Alerts 連携で取り込まれたソフトウェアに PURL が自動割り当てされるようになりました
GitHub Security Alerts 連携で登録されたソフトウェアに対し、PURL(Package URL)が自動割り当てされるようになりました。これにより、手動登録なしでサプライチェーン系の機能(EOL 検知、GHSA マッチング等)がデフォルトで利用できます。 サプライチェーンリスク情報を FutureVuls API から取得できるようになりました
これまでコンソール画面の「サプライチェーンリスク」タブでのみ確認できたサプライチェーンリスク情報を、FutureVuls API から取得できるようになりました。EOL はもちろん、マリシャスパッケージとして検知されたパッケージ情報もまとめて取得できます。 グループおよびグループセットのいずれでも取得でき、グループに所属していない CSIRT ユーザでも、配下の全グループのサプライチェーンリスク情報を一括で取得できます。 詳しい取得方法は API ドキュメント を参照してください。 自社製品などの EOL 情報(非公開 EOL)をオーガニゼーションごとに登録できるようになりました
公式の endoflife.date に掲載されていない自社製品や商用ソフトの EOL 情報を、オーガニゼーション内で登録できるようになりました。登録した情報はサプライチェーンリスクの検知対象となり、公式 endoflife.date の情報よりも優先して扱われます。社内の非公開パッケージの EOL を、既存の EOL 検知と同じ画面・ワークフローで一元管理できます。 これまで、公式の endoflife.date 未掲載のソフトウェアの EOL を検知対象とするには、お問い合わせベースで公開リポジトリ( vuls-saas/endoflife.date )への登録が必要でした。公開リポジトリへの登録では EOL 情報が社外に公開されますが、本機能なら社外に公開することなくオーガニゼーション内で登録・管理できます。 登録・更新・削除は FutureVuls API から行えます。詳しい登録方法は「 非公開 EOL 情報の登録 」をご覧ください。 公式の EOL 検知情報を最新化し、判定精度を向上しました
FutureVuls の EOL(End of Life:脆弱性が見つかっても修正されないサポート終了状態)検知に用いる公式の判定情報を最新化しました。PHP / Ruby / Go / Java / JavaScript / .NET / Python の各パッケージエコシステムについて、サポート終了の判定を見直しています。 今回は README のキーワード( deprecated 等)に頼らず、各パッケージの公式配布サイトや GitHub の一次情報(最新バージョンの公開日・リポジトリのアーカイブ状況・後継への移行宣言など)を実際に確認しました。その結果、誤検知を抑えてより正確な EOL 判定ができます。たとえば「README に deprecated と記載があっても、実際はパッケージ内の一機能を指すだけ」といったケースでの取り違えが減ります。 判定情報は定期的に最新化しています。更新内容は自動で検知へ反映されるため、特別な操作なくご利用いただけます。 仕様変更
SSVC の Exploit (PoC) 判定および Exploit の詳細情報から GitHub 上の PoC を除外しました
信頼性の観点から、SSVC の Exploit (PoC) 判定および Exploit の詳細情報の対象から、GitHub 上の PoC リポジトリ情報を除外しました。 既存の SSVC 判定値・Exploit 件数が変化する場合があります GitHub 上の PoC のみが Exploit として紐づいていた脆弱性については、SSVC の Exploit 判定値や Exploit 件数が変化する場合があります。SSVC を自動トリアージや優先度判断に利用されている場合は、判定結果の変化にご留意ください。 EOL データソースの追加要望リクエストフォームを廃止しました
非公開 EOL 情報をオーガニゼーション内で登録できるようになったため、EOL データソースの追加要望に関するリクエストフォームを廃止しました。endoflife.date 未掲載のソフトウェアの EOL を検知対象にしたい場合は、 非公開 EOL 情報の登録 をご利用ください。 重要なバグ修正
タスク詳細 FutureVuls API のレスポンスキー不整合を修正しました
以下のタスク詳細系 FutureVuls API のレスポンスについて、ドキュメント記載のキー名( pkgCpes )と実際のレスポンスのキー名( serverSoftwares )が一致していなかった問題を修正しました。 Operation Method Path getTaskDetail GET /v1/task/{taskID} updateTask PUT /v1/task/{taskID} addTaskComment POST /v1/task/{taskID}/comment getGroupSetTaskDetail GET /v1/groupSet/task/{taskID} addGroupSetTaskComment POST /v1/groupSet/task/{taskID}/comment 互換性維持のため、レスポンスには serverSoftwares (正式キー)と pkgCpes (deprecated)の両方を含むようにしています。今後の新規連携では serverSoftwares をご利用ください。 pkgCpes は移行猶予期間を経て、将来のリリースで削除予定です。 SBOM関連機能の問題を修正しました
SBOM 取り込み処理の以下の不具合を修正しました。 FossID 製 CycloneDX 1.6 形式の SBOM を取り込めない問題 SPDX 形式の SBOM で一部コンポーネントを取り込めない問題 Syft で生成した Oracle Linux サーバの取り込みに失敗する問題 SBOM に github-action-workflow 等の長いコンポーネント type 名が含まれる場合に、SBOM 取り込みが失敗していた問題 また、その他の SBOM 機能に関する不具合を修正しました。 SBOM エクスポート時に、あるソフトウェアとそれに割り当てられていた CPE が二重に構成情報として記載されていた問題 Red Hat サーバに含まれる rpm 系のコンポーネントについて一部脆弱性が検知されない問題 Windows サーバを SBOM 出力した際に、適用済み KB 情報が含まれていなかった問題 一覧テンプレでフィルタ条件が一部反映されない問題を修正しました
保存した一覧テンプレを適用した際に「空である/空でない」のフィルタ条件が反映されない問題を修正しました。 SSO ログイン用 URL を開いた際に通常ログイン画面に遷移してしまう問題を修正しました
ログアウト状態で SSO ログイン用 URL をブックマーク等から開いた際に、SSO ログイン画面ではなく通常ログイン画面に遷移してしまう問題を修正しました。 Library / WordPress / AWS Lambda のタスクで「アップデートパッチがでるまで非表示」が設定できない問題を修正しました
タスク詳細の非表示設定で「アップデートパッチがでるまで」を選択した際、Library / WordPress / AWS Lambda で検知した脆弱性のタスクではエラーとなり設定できない問題を修正しました。あわせて、これらのタスクでもパッチ提供時の通知・コメントが正しく行われるようになりました。 UI/UX 改善
一覧画面の初期表示カラムを最小化し、テンプレートで切り替えられるようにしました
一覧画面の初期表示カラムを大幅に削減しました。初めてご利用いただくお客様から「多数のカラムに戸惑った」というご指摘をいただいていたため、判断に必要な最低限の情報のみを表示しています。 これまでにあった列は「列一覧」から表示するとこれまで通りご利用いただけます。また、いくつかの一覧画面に対しては「一覧テンプレ」に推奨一覧のテンプレートを用意しています。こちらは操作に慣れた段階でお試しください。 設定画面に「高度な設定」の折りたたみを導入しました
設定画面を再構成し、日常の管理に必要な項目のみを初期表示するようにしました。「FutureVuls API」や「重要な未対応の条件」等の応用的な設定項目は「高度な設定」配下に折りたたみ表示し、必要に応じて展開して操作できます。 こちらも設定項目数の多さから「どこから手を付ければよいか分かりづらい」というお声を反映しています。 トークン・Vuls プロキシパスワード等のシークレット情報を伏字(マスキング)表示するようになりました
以下のシークレット情報について、伏字(マスキング)で表示するように変更しました。 トークン一覧のトークン文字列 サーバスキャン追加画面の curl コマンド(インストールコマンド全体を伏字化) その他設定画面の API キー等 マスキングされた文字をクリックすると、表示/非表示の切り替え、または対象文字列のクリップボードへのコピーができます。 ショルダーハック等によるシークレットの漏洩リスク軽減を目的としています。 Teams 通知でも通知種別ごとに ON/OFF を切り替えられるようになりました
これまで Teams Webhook 連携では通知種別ごとの個別制御ができませんでしたが、Slack App と同様に「Daily レポート / トピック作成 / 警戒タグ作成 / 重要フィルタ変更 / Immediate タスク / 悪用されている脆弱性 / スキャンエラー」の通知種別ごとに ON/OFF を切り替えられるようになりました。グループ設定の Teams Webhook 設定から選択できます。 Microsoft Teams への通知の表示幅を拡大しました
Teams 通知カードのレイアウトを改善し、脆弱性情報やサーバ名などの長い文字列も折り返さず表示できるようになりました。Teams 上での通知の視認性が向上します。 その他
主に脆弱性詳細画面およびタスク詳細画面において、画面レイアウトや色調の調整を実施しました。 パフォーマンス改善
グループ脆弱性一覧 / グループセット脆弱性一覧 API のレスポンスを高速化しました
グループ脆弱性一覧 API( getCves )およびグループセット脆弱性一覧 API( getGroupSetCves )について、クエリ最適化等のチューニングを行いレスポンスを高速化しました。大規模なグループ / グループセットを管理されているお客様において、画面表示・API レスポンスの体感が改善されます。 ご不明な点がございましたら、サポートチームまでお問い合わせください。
security2026-06 事前予告版
2026-06 リリース内容(事前予告版)
本ドキュメントは、2026年6月3日に予定している正式リリースの予告サマリです。 内容・日付・名称は変更される可能性があります。 重要なお知らせ
【要対応】deprecatedにしていたSBOM関連のAPIを削除しました
2025年11月リリース で deprecated として通知していた、 /v1/lockfile/sbom の API エンドポイントを削除しました。 該当エンドポイントへのリクエストは 404 Not Found を返すようになるため、お客様の自動連携スクリプト等で該当の API を利用している場合は、後継の /v1/sbom への移行をお願いします。 【要対応】Public API のエラーレスポンスを改善しました
Public API ( rest.vuls.biz ) のエラーレスポンスを以下のように改善しました。 権限不足・パラメータ不正 → HTTP 400 で具体的なエラーメッセージを返却(従来は HTTP 500 「内部エラー」) 未登録エンドポイント・未対応 HTTP メソッド → HTTP 404 / 405 で JSON 形式のエラーを返却(従来は空レスポンス相当) 既存の API 連携スクリプトが HTTP 500 系で例外を投げる実装になっている場合、本変更でエラーハンドリングの動作が変わる可能性があるため、自動連携処理の動作確認をお願いいたします。 重要な新機能・改善
ソフトウェア詳細タブを大幅に拡張し、OSS の「健全性」を可視化できるようになりました
ソフトウェアサプライチェーン攻撃への対策として、「依存先 OSS の健全性」を把握することの重要性が高まっています。本リリースではソフトウェア詳細に OSS の健全性を判断するための情報を追加し、利用継続の判断をしやすくしました。 判断材料として、以下の情報が表示されます。 ソフトウェアの概要 更新状況などの健全性に関する情報(更新がアクティブか、滞っていないか など) セキュリティ評価(セキュリティポリシーの有無、セキュリティパッチの提供状況 など) 開発者向け・運用者向けのサマリ 当該ソフトウェアに対する推奨アクション このほか、判断の根拠となる各種詳細ページへの外部リンクも表示されます。 なお、上記の分析は パッケージの最新安定版 を対象とした評価です。サーバ内で検知した特定バージョン( express@4.17.1 等)に対する評価ではない点にご留意ください。 EU 脆弱性データベース(EUVD)・ENISA KEV に対応しました
CRA(Cyber Resilience Act)の脆弱性報告義務(2026 年 9 月 11 日施行)への準備として、EUVD(European Union Vulnerability Database)を新たな脆弱性ソースとして取り込みました。あわせて、EU 圏の悪用情報源である ENISA KEV を CISA KEV / VulnCheck KEV と並ぶ脅威情報として取り込んでいます。 これら KEV 情報をもとに「実際に悪用されている脆弱性」を検知した際に、メール・Slack・Teams で即時通知する仕組みも追加しました。通知対象はグループ設定から選択でき、PSIRT オプションが有効なオーガニゼーションではデフォルトで通知が有効になります。 CVSS v4 を一覧画面・Public API・各種フィルタ・通知で扱えるようになりました
これまで CVSS v4 のみが提供される脆弱性が一覧・Public API・重要フィルタから漏れる事象が発生していましたが、本リリースで CVSS v4 のスコアおよび最大値を、一覧表示・API 取得・重要フィルタ・自動トリアージ(自動脆弱性優先度・自動非表示設定・タスク優先度ルールセット)の判定対象に追加しました。あわせて、通知メールや CSV レポートにも CVSS v4 のスコア・ベクターを表示します。 CVSS v2 列の削除予告 本リリースでは CVSS v2 列は存置しますが、今後のリリースで削除予定です。ダッシュボード・自動連携等で v2 列を参照されているお客様は v3 / v4 への移行をご検討ください。 SSVC の Exploit (PoC) 判定および Exploit の詳細情報から PoC-in-GitHub を除外しました
信頼性の観点から、SSVC の Exploit (PoC) 判定および Exploit の詳細情報の対象から、PoC-in-GitHub(GitHub 上の PoC リポジトリ情報)を除外しました。PoC-in-GitHub のみが Exploit として紐づいていた脆弱性については、SSVC の Exploit 判定値や Exploit 件数が変化する場合があります。 ライブラリの直接依存/間接依存を判別し、間接依存の更新元を逆引きできるようにしました
ライブラリスキャン結果に「直接依存(direct)/間接依存(indirect)」などの依存種別を保存するようにしました。ソフトウェア一覧画面で依存種別による絞り込みができ、各ライブラリがアプリケーションから直接参照されているか、他のライブラリ経由で取り込まれた推移的依存かを判別できます。 また、間接依存ライブラリについては「どの直接依存ライブラリを更新すれば解消できるか」という依存元情報をソフトウェア一覧画面から確認できるようになりました。間接依存の脆弱性に対する対応方針(どのライブラリを上げれば対象の間接依存が更新されるか)を判断しやすくなります。 新機能追加
公式対応ツール以外で生成されたSBOMも取り込めるようになりました
これまでは、 FutureVuls に取り込める SBOM は特定のツールで生成されたものに限定していました。 本リリースで、標準の CycloneDX / SPDX の仕様に従った SBOM であれば、公式に対応していないツールで生成された SBOM であってもインポートできるようになりました。 SBOMの公式対応ツールを拡充しました
SPDX形式で出力したFutureVuls製のSBOM
これまでは FutureVuls から出力した SBOM は CycloneDX 形式に限って取り込めました。 本リリースから、 SPDX 2.3 形式の SBOM についても正式に対応しました。 CycloneDX Gradle Plugin で生成されたSBOM
CycloneDX 公式の Gradle プラグイン( cyclonedx-gradle-plugin )で生成された SBOM ファイルを FutureVuls でインポートできるようになりました。 Java / Gradle プロジェクトの CI から SBOM を出力して脆弱性管理ができます。 SBOM内の要素の取り込み対応範囲を拡張しました
SBOM 取り込み処理の以下の点を機能改善しました。 CycloneDX 形式での component.type の取り込み対象を拡張しました。 firmware や device などもインポート対象になります。 SBOM 内に含まれるアプリケーション自体をソフトウェアエントリとして取り込むようにしました AWS ECR 連携サーバの最新スキャンイメージ情報をサーバ API から取得できるようになりました
サーバ一覧・サーバ詳細の Public API のレスポンスに、AWS ECR 連携サーバの最新スキャンイメージ情報(イメージ名・タグ)を含めるようにしました。GitHub Actions 等の自動化スクリプトでイメージ情報を取得し、定期 Pull 等の運用に活用いただけます。 GitHub Security Alerts 連携で取り込まれたソフトウェアに PURL が自動割り当てされるようになりました
GitHub Security Alerts 連携で登録されたソフトウェアに対し、PURL(Package URL)が自動割り当てされるようになりました。これにより、手動登録なしでサプライチェーン系の機能(EOL 検知、GHSA マッチング等)がデフォルトで利用できます。 マリシャスパッケージ情報を取得する Public API を追加しました
マリシャスパッケージとして検知されたパッケージ情報を、グループおよびグループセット横断で取得できる Public API を追加しました。グループに所属していない CSIRT ユーザでも、配下の全グループのマリシャスパッケージ情報をまとめて取得できるようになります。 自社製品など独自の EOL 情報をオーガニゼーションごとに登録できるようになりました
公式の endoflife.date に掲載されていない自社製品や商用ソフトの EOL 情報を、オーガニゼーション内で登録できるようになりました。登録した情報はサプライチェーンリスクの検知対象となり、公式 endoflife.date の情報よりも優先して扱われます。社内独自パッケージの EOL を、既存の EOL 検知と同じ画面・ワークフローで一元管理できます。 登録・更新・削除は Public API から行えます。 重要なバグ修正
タスク詳細 Public API のレスポンスキー不整合を修正しました
以下のタスク詳細系 Public API のレスポンスについて、ドキュメント記載のキー名( pkgCpes )と実際のレスポンスのキー名( serverSoftwares )が一致していなかった問題を修正しました。 Operation Method Path getTaskDetail GET /v1/task/{taskID} updateTask PUT /v1/task/{taskID} addTaskComment POST /v1/task/{taskID}/comment getGroupSetTaskDetail GET /v1/groupSet/task/{taskID} addGroupSetTaskComment POST /v1/groupSet/task/{taskID}/comment 互換性維持のため、レスポンスには serverSoftwares (正式キー)と pkgCpes (deprecated)の両方を含むようにしています。今後の新規連携では serverSoftwares をご利用ください。 pkgCpes は移行猶予期間を経て、将来のリリースで削除予定です。 SBOM関連機能の問題を修正
SBOM 取り込み処理の以下の不具合を修正しました。 FossID 製 CycloneDX 1.6 形式の SBOM を取り込めない問題 SPDX 形式の SBOM で一部コンポーネントを取り込めない問題 Syft で生成した Oracle Linux サーバの取り込みに失敗する問題 Red Hat サーバに含まれる rpm 系のコンポーネントについて一部脆弱性が検知されない問題 syft の SBOM に長い type 名が含まれる場合に取り込みが失敗する問題を修正しました
syft で生成した SBOM に github-action-workflow 等の長いコンポーネント type 名が含まれる場合に、SBOM 取り込みが失敗していた問題を修正しました。 Windows サーバの SBOM 出力に適用済み KB 情報が含まれない問題を修正しました
Windows サーバを SBOM 出力した際に、適用済み KB 情報が含まれていなかった問題を修正しました。 一覧テンプレでフィルタ条件が一部反映されない問題を修正しました
保存した一覧テンプレを適用した際に「空である/空でない」のフィルタ条件が反映されない問題を修正しました。 SSO ログイン用 URL を開いた際に通常ログイン画面に遷移してしまう問題を修正しました
ログアウト状態で SSO ログイン用 URL をブックマーク等から開いた際に、SSO ログイン画面ではなく通常ログイン画面に遷移してしまう問題を修正しました。 UI/UX 改善
一覧画面の初期表示カラムを最小化し、テンプレートで切り替えられるようにしました
一覧画面の初期表示カラムを大幅に削減しました。初見のユーザさんから「多数のカラムに戸惑った」という声をいただいていたため、判断に必要な最低限の情報のみを表示しています。 これまでにあった列は「列一覧」から表示するとこれまで通りご利用いただけます。また、いくつかの一覧画面に対しては「一覧テンプレ」に推奨一覧のテンプレートを用意しています。こちらは操作に慣れた段階でお試しください。 設定画面に「高度な設定」の折りたたみを導入しました
設定画面を再構成し、日常の管理に必要な必要な項目のみを初期表示するようにしました。「FutureVuls API」や「重要な未対応の条件」等の応用的な設定項目は「高度な設定」配下に折りたたみ表示し、必要に応じて展開して操作できます。 こちらも設定項目数の多さから「どこから手を付ければよいか分かりづらい」というお声を反映しています。 トークン・Vuls プロキシパスワード等のシークレット情報を伏字(マスキング)表示するようになりました
以下のシークレット情報について、伏字(マスキング)で表示するように変更しました。 トークン一覧のトークン文字列 サーバスキャン追加画面の curl コマンド(インストールコマンド全体を伏字化) その他設定画面の API キー等 マスキングされた文字をクリックすると、マスキング文字の表示非表示を切り替え、もしくは、対象の文字列のクリップボードへのコピーをします。 ショルダーハッキング等によるシークレットの漏洩リスク軽減を目的としています。 Microsoft Teams への通知の表示幅を拡大しました
Teams 通知カードのレイアウトを改善し、脆弱性情報やサーバ名などの長い文字列も折り返さず表示できるようになりました。Teams 上での通知の視認性が向上します。 パフォーマンス改善
グループ脆弱性一覧 / グループセット脆弱性一覧 API のレスポンスを高速化しました
グループ脆弱性一覧 API( getCves )およびグループセット脆弱性一覧 API( getGroupSetCves )について、クエリ最適化等のチューニングを行いレスポンスを高速化しました。大規模なグループ / グループセットを管理されているお客様において、画面表示・API レスポンスの体感が改善されます。 ご不明な点がございましたら、サポートチームまでお問い合わせください。
security2026-04-08 [重要]
【重要】RedHat 環境におけるタスクステータスの意図しない変更に関するお詫びと、データ復旧実施のお知らせ
日頃より FutureVuls をご利用いただき、誠にありがとうございます。 2026年3月7日〜3月12日の期間中、脆弱性データ取り込み機構の不備により、一部のお客様環境にて RedHat サーバのタスクステータスが意図せず変更( NEW への巻き戻し等)される事象が発生いたしました。 日々の運用において多大なるご迷惑をおかけしておりますことを、深くお詫び申し上げます。また、お客様のこれまでのトリアージ判断を安全かつ確実に復元するための復旧ロジックの検証に時間を要し、事象発生から本ご案内までにお時間をいただきましたこと、重ねてお詫び申し上げます。 本件に関する原因、対象範囲、および 2026年4月8日に実施するデータ復旧処理 、ならびに今後の再発防止策についてご報告いたします。 サービス停止はありません 本復旧処理に伴う、FutureVuls のサービス停止(ダウンタイム)は発生いたしません。 1. 発生した事象と根本原因
事象の根本原因は、FutureVuls が脆弱性データソースとして利用している脆弱性データベースの取り込み処理(RedHat 向け)のアップデートにおいて、データ構造の変更と処理ロジックの更新を同時に行った際の不具合です。上流データの変更に対するシステム側の異常検知が不十分であったため、脆弱性の検知条件が大幅に欠落する結果となりました。 2026年3月7日 : 上記の不具合により、RedHat の脆弱性検知条件が欠落した状態で取り込みが行われました。FutureVuls はこれを「脆弱性が解消された」とシステム的に解釈し、対象タスクを自動的に PATCH_APPLIED へ遷移させました。 2026年3月12日 : 不具合が修正され、正常な脆弱性情報の取り込みが再開されました。これにより FutureVuls 上で「新たな脆弱性が検知された」と判定され、事象発生前にお客様が手動で設定していたステータス( INVESTIGATING 等)が破棄され、初期状態である NEW に巻き戻る事象が大量発生しました。 2. 影響範囲
対象サーバ : RedHat の OS を利用しており、2026年3月7日〜3月12日の間に FutureVuls でスキャンが実行されたサーバ 対象タスク : お客様が手動で以下のステータスを設定していたにも関わらず、上記期間中に NEW へ巻き戻ってしまったタスク ( INVESTIGATING , ONGOING , DEFER , ALT_RESOLVED , NOT_AFFECTED , WORKAROUND , RISK_ACCEPTED ) 3. データ復旧処理の実施について
影響を受けた全オーガニゼーションを対象に、タスクステータスの自動復旧作業を実施いたします。 実施日時 : 2026年4月8日(水)17:00〜 順次実行(日本時間) 復旧内容 : 2026年3月6日時点のバックアップデータを基に、事象発生前にお客様が設定されていた本来のステータスへ復旧します。 ステータス別の復旧方針と重要な例外
お客様の現在の運用を妨げないこと、およびセキュリティリスクを最小化することを最優先とし、以下のルールで復旧します。 事象発生前のステータス 復旧の有無 備考・理由 NEW 対象外 元々未対応のタスクであるため。 PATCH_APPLIED 対象外 未対応の脆弱性を誤って「対応済」にしてしまうセキュリティリスクを完全に排除するため、対象外としています。(※当該期間に実際にパッチが適用されたものは、その後のスキャンにより自動で PATCH_APPLIED に遷移しています) 上記以外のステータス ( INVESTIGATING 等) 復旧する 3月6日時点のステータスに復元します。 不具合発生後(3月12日以降)に、お客様が手動でステータスを変更済みの場合 事象発生後に行われたお客様の最新のトリアージ判断を優先するため、今回の復旧処理による 上書きは行いません 。 4. お客様へのお願いと確認方法
今回のデータ復旧処理により、影響を受けたタスクのステータスは自動的に事象発生前の状態へ復元されるため、 原則としてお客様側での追加作業は発生いたしません。 復旧処理の完了後、復元されたタスクの状況をご確認いただく場合は、以下の方法で FutureVuls の画面上から特定いただけます。 確認手順 : タスク一覧画面にて、 「ステータス更新日時」を 2026年4月8日 17:00以降 に指定してフィルタリング してください。 システムコメント : 復旧対象となったタスクには、以下のコメントが自動付与されています。 「FutureVuls によってステータスが NEW から {復旧後ステータス} に変更されました」 5. 再発防止策について
本件の最大の課題は、脆弱性データベースの取り込み処理のアップデート時に、検知条件の大幅な欠落を検出・ブロックする仕組みが不足していた点にあります。 脆弱性管理プラットフォームとして、脆弱性データベースの不具合によってお客様の運用タスクが破壊されることは絶対にあってはならない事態であると重く受け止めております。この問題を根本から解決するため、脆弱性情報の配信パイプラインに以下の安全装置を導入いたします。 脆弱性情報配信時のアノマリー検知と自動ブロック機能(2026年4月末稼働予定)
脆弱性情報のビルド時および本番環境への配信プロセスにおいて、「前回データからの差分量(特にデータの減少量)」を自動評価するステップを組み込みます。 具体的には、 「特定 OS(RedHat 等)の検知ルール件数が、統計的に有意な異常値(大規模なデータの欠落など)を示した」 場合、本番環境への配信を自動で即時停止します。 同時に弊社開発チームへアラートを発報し、エンジニアによる安全性の確認と原因究明が完了するまでデータの更新を保留することで、今回のような検知条件の欠落によるお客様環境への影響を水際で防ぐ仕組みを構築いたします。 本件に関するご不明点、または復旧処理後のデータに関するお問い合わせは、お手数ですが サポート窓口 までご連絡ください。 今後とも、FutureVuls をよろしくお願い申し上げます。
security2026-04-06 [重要]
2026-04-06 リリース内容
定期自動スキャンの仕様変更
2026-02-24 のリリースノート にて予告していた、定期自動スキャンの仕様変更を実施しました。 変更内容
スキャナ経由で登録され、 過去24時間以内に構成情報が同期されたサーバについては、深夜の定期自動スキャンの対象外(スキップ) となります。 ※ 本変更によって、対象サーバの新たな脆弱性検知が漏れることや、検知精度に影響が出ることはございませんのでご安心ください。 変更の目的
システム全体の負荷軽減および、サービスのパフォーマンス向上を目的としています。 お客様側で必要なご対応
本変更に伴い、お客様側での FutureVuls 上の設定変更や、サーバ側の対応は 一切不要 です。これまで通りご利用いただけます。 本仕様に関する詳細は、マニュアル「 定期自動スキャン 」をご参照ください。
security2026-03 [Hotfix]
2026-03 Hotfix リリース内容
今月の Hotfix リリースでは、以下を修正しました。 リリース内容に関して、ご不明点やご質問がございましたら、 サポート窓口 にお問い合わせください。 2026-03-04 リリース内容
スキャナの更新が必要です スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。 スキャナのバグ修正は 最新版にのみ適用 されます。 スキャナの更新方法は こちら です。自動更新オプションもご活用ください。 Windows用スキャナ vuls v0.38.4 のバグ修正(v0.38.5)
Windows 用スキャナ vuls v0.38.4 に含まれていたバグを修正し、v0.38.5 をリリースしました。 Linux 用スキャナについても同バージョン v0.38.5 に更新しています。 対象 スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.38.5 Version: 2025/10 Windows用 [NEW] vuls v0.38.5 Version: 2025/04 不具合の内容
Windows 環境でインストール済みパッケージの取得時に、PowerShell の PackageManagement が出力する警告メッセージをパッケージ情報として解析しようとし、スキャンがエラーになる不具合がありました。
Failed to parse installed packages. err:
- Failed to parse property. expected: ["Name :
パッケージ情報のパース処理を改善し、PowerShell の警告メッセージが混在していてもスキャンが正常に完了するようになりました。 2026-03-12 リリース内容
スキャナの更新が必要です スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。 スキャナのバグ修正は 最新版にのみ適用 されます。 スキャナの更新方法は こちら です。自動更新オプションもご活用ください。 対象 スキャナバージョン スキャン実行スクリプト Trivy [NEW] v0.69.3 Version: 2025/04 【障害報告とご対応のお願い】Trivyスキャナにおけるソフトウェア情報重複の不具合修正について
Trivy スキャナを利用したスキャンにおいて、ソフトウェア情報が重複して登録され、それに伴い関連するソフトウェア数が肥大化する不具合が発生しておりました。 本件により、不要な情報が表示され、日々の脆弱性管理業務にご不便をおかけしましたことを深くお詫び申し上げます。 現在は修正が完了しておりますが、該当する環境をご利用のお客様におかれましては、 バイナリの更新(再スキャン) を実施していただきますようお願いいたします。 不具合の内容
Trivy スキャン時、スキャン対象のロックファイルが複数存在する場合に、各ライブラリが全ロックファイルに複製され、サーバ内のソフトウェア数が「実際のソフトウェア数よりも多く表示されてしまう」不具合が発生していました。 また、これに伴い、「関連するソフトウェア」が肥大化してしまう事象も発生していました。 以下、ロックファイルを3つ持つリポジトリをスキャンした場合を例に、今回のケースを説明します。 my-repo/ ├── package-lock.json … ライブラリ A, B, C(3個) ├── frontend/ │ └── package-lock.json … ライブラリ D, E(2個) └── tools/ └── package-lock.json … ライブラリ F(1個) 正常時は各ロックファイルごとにライブラリが個別に登録され、合計 6 個のソフトウェアとなります。 一方、本不具合発生時においては、すべてのロックファイルに全ライブラリが複製され、ソフトウェア数が実際の数より多く登録されていました。 ロックファイル 正常時(修正後) 不具合発生時 package-lock.json A, B, C(3個) A, B, C, D, E, F(6個) frontend/package-lock.json D, E(2個) A, B, C, D, E, F(6個) tools/package-lock.json F(1個) A, B, C, D, E, F(6個) 合計 6個 18個(本来の3倍) 原因: Trivy スキャン用スクリプト内で使用している変換バイナリ( trivy-to-vuls )に処理ロジックの不備が含まれておりました セキュリティ影響: ソフトウェアが過剰に検知・表示される不具合であり、本件に起因する脆弱性の「検知漏れ」は発生しておりません 影響を受ける対象のお客様
2026 年 2 月 24 日の定期リリース以降、v0.69.1 または v0.69.2 の Trivy スキャナを利用してスキャンを実施したサーバにおいて、今回の不具合が発生しておりました。 ライブラリ種別に関わらず、ロックファイルを含むすべての環境が対象です。 修正内容
変換バイナリ( trivy-to-vuls )の構成情報取得ロジックを、以下の PR にて修正しました。 https://github.com/future-architect/vuls/pull/2450 この修正により、 Trivy スキャン時に正しい構成情報を FutureVuls へ連携できるようになり、「ソフトウェアの複製」および「ソフトウェア数の肥大化」を解消いたしました。 不具合の修正方法
不具合を解消し、正しい構成情報を取り込むため、以下の手順でバイナリの最新化と再スキャンをお願いいたします。 ※ 再スキャンが完了すると、過去に重複登録された不要なソフトウェア情報は自動的に上書き・削除され、正常な状態に戻ります。 通常版の Trivy スキャンをご利用の方: Trivy スキャナの config.toml 内の refreshScanner を true にし、再度スキャンしてください。再度スキャンいただくことで、最新の trivy-to-vuls バイナリがダウンロードされ、不具合が解消されます。 config.toml の書き方の例は こちら です。 CI/CD パイプライン内等で、軽量版の Trivy スキャンをご利用の方: パイプラインを再実行することで、自動的に修正後の trivy-to-vuls バイナリが取得・使用されます。
security2026-03-02 [Hotfix]
2026-03-02 リリース内容
【緊急リリース】Trivy サプライチェーン攻撃に伴うスキャナ更新について
FutureVuls をご利用のお客様への影響はありません 調査の結果、FutureVuls が配布していた Trivy v0.69.1 は改ざんを受けていないことを確認しました。 本リリースでは予防措置として、Aqua Security が公開した Hotfix 版(Trivy v0.69.2)へスキャナを更新しています。 詳細な検証プロセスは ブログ記事 をご参照ください。 スキャナの更新が必要です 本リリースでは、Trivy の Hotfix 対応に加えて vuls scanner の更新も含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。 スキャナのバグ修正は 最新版にのみ適用 されます。 スキャナの更新方法は こちら です。自動更新オプションもご活用ください。 対象 スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.38.4 Version: 2025/10 Windows用 [NEW] vuls v0.38.4 Version: 2025/04 Trivy [NEW] v0.69.2 Version: 2025/04 1. 本リリースでの対応内容
Trivy v0.69.1 の GitHub Releases 上のアセットが削除済みのため、Aqua Security が公開した Trivy v0.69.2 (Sigstore 署名付き)で動作確認のうえ、FutureVuls のスキャナを更新しました。 Docker スキャン(Trivy) をご利用の方:スキャナ更新により Trivy v0.69.2 が適用されます vuls scanner で lockfile を指定したスキャン をご利用の方:スキャナ更新により vuls scanner 内部の Trivy が v0.69.2 に更新されます CI/CD パイプラインへの組み込み をご利用の方: installer.vuls.biz 経由で取得される Trivy が v0.69.2 に更新されます 2. ユーザ様へのお願い
スキャナの更新をお願いします: v0.69.1 の GitHub Releases アセットが削除されている関係上、スキャナを最新版に更新することを推奨します。スキャナの更新方法は こちら です。自動更新オプションもご活用ください。 CI/CD パイプラインをご利用の方: パイプラインを再実行することで、最新の Trivy v0.69.2 が取得されます。 3. 事件の概要
2026年2月21日〜28日にかけて、Trivy の GitHub リポジトリが第三者に乗っ取られるサプライチェーン攻撃が発生しました。この攻撃により、以下の影響がありました。 GitHub Releases v0.27.0〜v0.69.1 の全削除(リリースノート・アセット含む) GitHub リポジトリの一時的な非公開化 Trivy VSCode 拡張 への悪意あるアーティファクトのプッシュ Aqua Security は 3/1 に 公式インシデント報告 を公開し、Hotfix として Trivy v0.69.2 をリリースしています。攻撃の詳細については StepSecurity の分析記事 もご参照ください。 4. FutureVuls 配布バイナリの安全性について
FutureVuls は 2/24 のリリース 時に Trivy v0.69.1 を GitHub Releases から直接取得しており、取得日(2/24)が攻撃期間(2/21〜2/28)にかかっていたため、独自にバイナリの改ざん有無を検証しました。 以下の 3 つの観点から検証し、 改ざんを受けていない と判断しています。 バイナリハッシュの比較 - S3 上の FutureVuls 配布バイナリと、GHCR(GitHub Container Registry)公式イメージ内バイナリの SHA256 が amd64・arm64 ともに完全一致 ビルドタイムスタンプの確認 - GHCR イメージのビルド日時は 2026-02-05 (攻撃開始の 16 日前 ) Sigstore 署名・透明性ログの検証 - Rekor 透明性ログで攻撃前からの連続記録を確認し、cosign 署名検証で Aqua Security の正規ワークフローによるビルドであることを暗号学的に確認 詳細な検証手順・結果については、ブログ記事「 Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート 」をご参照ください。 参考リンク
Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート(FutureVuls ブログ) Trivy 公式インシデント報告(Trivy security incident 2026-03-01 #10265) StepSecurity による攻撃分析 Trivy GitHub Releases FutureVuls は、今後も最新のセキュリティ動向に合わせ、迅速かつ適切な脆弱性管理をサポートしてまいります。
security2026-02-24
2026-02-24 リリース内容
スキャナの更新が必要です 今回のリリースにはスキャナの更新を必要とする機能改善が含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。 スキャナのバグ修正は 最新版にのみ適用 されます。 スキャナの更新方法は こちら です。自動更新オプションもご活用ください。 対象 スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.38.2 Version: 2025/10 Windows用 [NEW] vuls v0.38.2 Version: 2025/04 Trivy [NEW] v0.69.1 Version: 2025/04 重要なお知らせ
【要対応】レートリミットの導入
本リリースより、FutureVuls API にレートリミットを導入しました。制限値は API トークンごとに 20 リクエスト/分、IP アドレスごとに 200 リクエスト/分です。 必要に応じて、バッチ API への処理移行や sleep の導入等により対応をお願いいたします。詳細は レートリミット を参照してください。 【要対応】Teams連携の移行対応
Microsoft Office 365 Connector の廃止(2026年4月30日) に伴い、FutureVuls の Teams 通知を Power Automate Workflows に移行しました。 既存の Teams 連携をご利用のお客様は、 2026年4月30日 までに以下の手順で設定変更をお願いいたします。 Teams 側で Power Automate Workflows の Webhook URL を生成する FutureVuls の「グループ設定 > 通知 > Teams」で、新しい Webhook URL に更新する 詳しい設定手順は Teams通知設定 をご参照ください。 旧 Webhook URL について 旧 Office 365 Connector の Webhook URL( .webhook.office.com )は、2026年4月30日以降使用できなくなります。期日までに新しい Webhook URL( .api.powerplatform.com )への切り替えをお願いいたします。 定期自動スキャンの仕様変更予定 (2026年3月末)
本リリースとは別に、2026年3月下旬の Hotfix リリースで仕様変更を予定しています。スキャナ経由で登録され、過去24時間以内に構成情報が同期されたサーバは、深夜の定期自動スキャンの対象外となります。システム全体の負荷軽減が目的であり、お客様側の設定変更は不要です。 詳細は「 定期自動スキャン 」を参照してください。 重要な新機能・改善
Windows ソフトウェアへの CPE 自動割当
FutureVuls が独自に構築した検証済み CPE 辞書に基づき、スキャン時に Windows ソフトウェア(Google Chrome、Adobe Acrobat Reader など)へ CPE を自動で割り当てる機能を追加しました。 従来は手動での CPE 割り当てが必要でしたが、本機能により辞書に登録済みの製品であれば自動で CPE が割り当てられ、脆弱性を検知できるようになります。 既存グループではデフォルト無効のため、利用するには グループ設定 で「CPE 自動割当」を有効にしてください。 新規作成グループではデフォルト有効です。手動割当済の CPE は上書きされません(手動割当が常に優先)。 詳細は「 CPEの自動割当 」を参照してください。 ソフトウェア一覧 > CPE 割当種別(自動・手動・未割り当て) ソフトウェア詳細 > 手動設定した CPE が検証済み辞書と差異がある場合 グループ設定 > CPE 自動割当機能の有効化設定 マリシャスパッケージ管理の強化
これまで検知のみだったマリシャスパッケージ(悪意のあるパッケージ)について、サプライチェーンリスクタブでの対応管理と即時通知機能を追加しました。検知から対応完了までを一元的に管理できるようになります。 サプライチェーンリスクタブへの統合
EOL 管理と同様に、マリシャスパッケージを サプライチェーンリスクタブ で管理できるようになりました。 一覧画面でのリスク可視化 : 検知されたマリシャスパッケージを一覧で把握できます。グループセット画面では、配下グループ全体の対応状況を横断的にモニタリングできます。 詳細画面での対応管理 : マリシャスパッケージの詳細情報を確認しながら、優先度・担当者・対応期限の設定や、対応方針のコメント共有が可能です。EOL と統一されたワークフローで対応できます。 また、サブタブの構成が以下のように変更されます。 すべて : EOL/Malicious やサプライチェーンリスクステータスを問わず、すべてのサプライチェーンリスクが表示されます。従来の「EOL」サブタブは「すべて」にリダイレクトされます。 マリシャス(新規追加) : ステータスが NEW のマリシャスパッケージ検知のサプライチェーンリスクが表示されます。 検知時の即時通知機能
マリシャスパッケージが検知された際、SSVC Immediate タスクと同等の緊急度で即時通知を送信する機能を追加しました。悪意のあるパッケージの混入は、情報漏洩やシステム侵害に直結する重大なリスクであるため、検知後速やかに対応を開始できるよう即時通知します。 通知先は Immediate タスク通知と同様に、 グループ設定画面 から以下のいずれかを選択できます。 グループ全員 : グループ所属ユーザ全員に通知 サプライチェーンリスクの主担当者 : 該当サプライチェーンリスクの主担当者のみに通知 タスク一覧で最新のコメント内容を直接確認可能に
タスク一覧画面に「最終コメント内容」と「最終コメント者」列を追加しました。タスク詳細画面を1件ずつ開かなくても、一覧画面上で各タスクの最新のやり取りと投稿者を即座に確認できます。 表示されるのはユーザのコメントのみ(システムによるステータス変更履歴は除外) 長文は省略表示されます 管理者の日常ワークフローがこう変わります
Before / After: CSIRT 管理者の朝の巡回フロー Before(従来) タスク一覧の「対応中」タブを開き、「最終コメント更新日時」でソートして、コメントが更新されたタスクを上位に表示する。ただし、誰が更新したかはこの時点ではわからない 気になるタスクを1件ずつクリックして詳細画面を開く 詳細画面をコメント欄までスクロールし、メンバからの最新報告を確認 確認が終わったら一覧に戻り、次のタスクを開く → 50件のタスクがあれば、50回の操作が必要 After(本リリース以降) タスク一覧の「対応中」タブを開き、「最終コメント更新日時」でソート 「最終コメント者」列と「最終コメント内容」列を確認するだけで、各タスクの状況を把握 - 最終コメント者がメンバ → 報告・質問が来ている。管理者の確認・返信が必要 - 最終コメント者が管理者自身 → 指示済み。メンバの対応待ち(スキップ可) 対応が必要なタスクだけを開いてコメントを返信 → 画面操作は本当に対応が必要なタスクだけに削減 一覧テンプレで全メンバに共有 「最終コメント者」「最終コメント内容」「最終コメント更新日時」を表示する列設定を 一覧テンプレ として保存すれば、オーガニゼーション内の全メンバが同じカスタマイズ済みの一覧をワンクリックで利用できます。メンバごとに列設定する必要はありません。 新機能追加
Amazon Inspector SBOM スキャンが最新パッケージマネージャーに対応
Inspector SBOM インポートで、Python の uv、Node.js の pnpm・bun も新たにインポートできるようになりました。これらのパッケージマネージャーを利用している環境でも、SBOM 経由で網羅的にソフトウェアを管理できます。 LockFile のペーストスキャンが pnpm・uv・bun に対応
pnpm-lock.yaml、uv.lock、bun.lock ファイルのペーストで脆弱性を検知できるようになりました。ロックファイルを貼り付けるだけで、これらのパッケージマネージャーを使ったプロジェクトの脆弱性検知が可能です。 開発用依存関係(devDependencies)のスキャンに対応
ペーストスキャンおよびスキャナ経由のスキャンにおいて、開発用依存関係(devDependencies)を管理対象に含めるオプションを追加しました。 ペーストスキャン : 画面上の「開発用依存関係を含める」チェックボックスで切り替え可能 スキャナ経由 : スキャンしてサーバ登録後、サーバ詳細画面から「開発用依存関係を含める」を設定可能(初回スキャン時には設定不可) 開発用依存関係由来のソフトウェアには [DevDependency] バッジが表示され、本番用と視覚的に区別できます。サプライチェーンリスク管理の観点から、マリシャスパッケージの混入検知など開発環境の依存関係も網羅的に管理できるようになります。 タスク一括更新 API の追加
複数のタスクのステータスや優先度をまとめて更新できるバッチ API( PUT /v1/tasks )を追加しました。1回のリクエストで最大1,000件のタスクを更新できます。 詳細は FutureVuls API ドキュメント を参照してください。 BlackDuck SBOMのインポート対応
BlackDuck のソフトウェア構成分析(SCA)機能で出力された SBOM ファイルをインポートできるようになりました。 既存の SCA ツールとの連携が強化されます。 対応範囲について BlackDuck で出力された SBOM ファイルについて、バイナリ解析機能により出力されたものには、今回のリリースでは未対応です。 SBOM でPURLが無いソフトウェアもインポート可能に
これまで SBOM インポート機能では、PURL が含まれるコンポーネントのみをインポート対象にしていました。 今回のリリースで、PURL が含まれないコンポーネントについてもインポートできるようになりました。 詳細は SBOMのコンポーネントを取り込む条件 を参照してください。 SBOMをファイル形式でアップロード可能に
これまで SBOM をコンソール画面から登録する場合、テキスト形式で添付する必要がありました。 この場合に、ファイルサイズが大きいとブラウザの挙動が重くなる問題が生じていました。 今回のリリースで、画面から SBOM をファイル形式でも添付して登録できるようになります。 詳細は SBOM ファイルのアップロード を参照してください。 CPEとPURLの両方を同時に割り当て可能に
ソフトウェアに対して、CPE と PURL(Package URL)の両方を同時に設定できるようになりました。 EOL・ライセンス・マリシャスパッケージの検知が有効になるほか、ソフトウェア種別に応じた脆弱性検知が行われます。 詳細は「 CPEとPURLを両方割り当てた場合の動作 」を参照してください。 EOL検知対象の製品カバレッジを拡大
FutureVuls の EOL(End of Life)検知は、約2万種類の OSS を対象に独自ロジックでサポート終了状況を自動判定しています。さらに、 endoflife.date の製品データを補完的に活用し、検知精度を高めています。 今回、endoflife.date に登録されている約 430 製品のうち CPE が未記載だった約 260 件を個別に調査し、約 130 件の CPE 紐づけを手動で追加しました。 これにより、endoflife.date 経由の EOL 検知カバレッジが約 4 割から約 7 割に向上し、より多くのソフトウェアで EOL を自動検知できるようになります。 残りの約 3 割は NVD に登録された CPE を今回特定できなかった製品であり、今後も継続的に調査を進めます。 参考として、今回の追加作業の一部は以下の Pull Request で公開しています。 未対応の製品については、こちらを参考に PR いただくか、 EOLデータソース追加を要望したい からご連絡ください。 Add CPE identifiers for various products
重要なバグ修正
タスクコピー処理のタイムアウト問題を解決
コメント数が多いタスクを含むサーバをコピーする際に、処理が完了しない問題を修正しました。コピー対象から除外するシステムコメントの種類を拡大し、大規模なサーバでも安全にコピーできるようになります。 除外対象の詳細は タスクコピーの仕様 を参照してください。 CPE削除時の非表示タスク処理を修正
CPE を削除した際、非表示に設定していたタスクが正しく削除されず、再度同じ CPE を登録すると誤った挙動をする問題を修正しました。 Microsoft定期パッチの警戒情報表示を改善
Microsoft 定期パッチに含まれる CVE で「警戒情報:PoC」が誤表示される問題を修正しました。脆弱性詳細の表記が「PoC」のままだった問題を修正し、より正確な脅威評価が可能になります。 脅威情報サマリの精度を向上
FutureVulsAI による脅威情報サマリ生成について、情報の取得方法と要約生成プロセスを改善しました。 これにより、関連性の低い情報の混入や、参照元との差異が発生するケースを低減し、より正確な脅威情報のサマリをご確認いただけます。 データベース負荷による応答遅延を改善
特定時間帯にタスク一覧の表示やタスク操作が著しく遅くなる問題について、以下の最適化により改善しました。 スキャン結果取り込み時のクエリチューニングにより、データベース負荷を大幅に削減 スキャン関連バッチ処理間のロック待ち連鎖を解消し、処理の安定性を向上 Teams通知のImmediate Task Report本文表示を修正
Teams 通知で SSVC Immediate Task Report のタイトルのみが表示され、詳細情報(CVE ID、サーバ名など)が表示されない問題を修正しました。 MSRCへのリンク切れを修正
Windows 系の脆弱性情報のディストリビューションサポートページにおいて、MSRC(Microsoft Security Response Center)へのリンクが多数の CVE-ID でリンク切れとなっていた問題を修正しました。リンク先 URL の変更に対応し、正しいページへ遷移するようになります。 SBOM ペーストスキャン時に検知対象外のアプリケーションが削除される問題を修正
SBOM のペーストスキャン実行時に、対象外のアプリケーションが意図せず削除される問題を修正しました。 PSIRTページのコメント欄でファイル添付ボタンが表示されない問題を修正
PSIRT ページの psirtResponse のコメント欄において、自分が投稿したコメントにファイル添付ボタンが表示されない不具合を修正しました。 SBOM インポートで重複したライブラリ・バージョンがある場合にエラーになる問題を修正
SBOM インポートで同一ライブラリの同一バージョンが複数回記載されている場合、エラーになる問題を修正しました。重複しているライブラリ・バージョンは1件として処理されるようになります。 「重要な未対応」の条件画面における更新処理の修正
「重要な未対応」の条件画面において、CVSS スコアを更新できない問題を修正しました。 UI/UX改善
グループセットタスクのステータス・タスク優先度に from/until フィルタの追加
グループセットタスクの一覧画面で、ステータス列とタスク優先度列に from/until(範囲指定)フィルタを追加しました。 これにより、グループセットタスクでも、例えばステータスが new から defer までのタスクのみを表示するといった範囲指定が可能になります。 通知メールのタイトル文字数を拡張
コメント通知メールの件名表示文字数を約30文字から60文字に拡張しました。メール一覧で内容をより詳しく確認できます。 タスク一覧でCVSS v3スコアを表示
タスク一覧画面で CVSS v3の最大スコアを直接確認できるようになりました。SSVC、EPSS と合わせて、効率的なトリアージが可能になります。 一覧テーブルに総件数・表示件数を表示
第2ペイン(詳細テーブル)に総件数と現在の表示件数を追加しました。フィルタリング結果を定量的に把握できます。 コメント一括操作時の通知を集約
タスクやサプライチェーンリスクで一括操作により大量のコメントを投稿した際、通知メールをまとめて送信するように改善しました。メールボックスが大量の通知で埋まることを防ぎます。 Trivyスキャナのアンインストールコマンドを表示
Trivy スキャナのアンインストールのコマンドを、グループ設定のスキャナタブに追加しました。画面下部の「アンインストールするには」のボタンを押し、表示されたコマンドを対象サーバで実行することで、スキャナをアンインストールできます。 その他
Vulncheck NVD++において過検知されたタスクの削除
2025-12-22 のリリース にて Vulncheck NVD++ における脆弱性の過検知を修正しましたが、修正以前に過検知により起票されていたタスクが残っていました。 今回のリリースで、これらの不要なタスクを一括削除しました。 その他仕様変更
「関連するソフトウェア」の表示仕様を変更
タスク詳細の「関連するソフトウェア」の表示仕様を変更しました。 これまでは、ソフトウェアが削除された場合に取り消し線付きで表示を継続していましたが、今回の変更により、脆弱性が検知されなくなったソフトウェアは削除済みか否かに関わらず「関連するソフトウェア」から削除されるようになりました。 削除されたソフトウェアの履歴は、タスクコメントから確認できます。 詳細は 関連するソフトウェア を参照してください。 Windows ペーストスキャンコマンドの変更
Windows ペーストスキャンのパッケージ情報取得コマンドを以下のとおり変更しました。 旧 : Get-Package | Format-List -Property Name, Version, ProviderName 新 : Get-Package | Select-Object Name, Version, ProviderName, @{Name='Publisher';Expression={$_.Metadata['Publisher']}} | Format-List 新しいコマンドでは Publisher(発行元)情報が追加で取得されます。この情報は、今後のリリースで CPE 自動割当の精度向上に活用される予定です。 旧コマンドでも脆弱性検知への影響はなく、コマンドの更新は任意ですが、新しいコマンドで構成情報を取得いただけると、将来的な CPE 自動割当の改善に役立ちます。
security2026-01 [Hotfix]
2026-01 Hotfix リリース内容
今月の Hotfix リリースでは、以下を修正しました。 リリース内容に関して、ご不明点やご質問がございましたら、 サポート窓口 にお問い合わせください。 2026-01-13~2026-01-28 リリース内容
CPE過検知を修正(NVDとVulnCheck NVD++の優先順位調整)
NVD と VulnCheck NVD++ の両方で同一の脆弱性情報が検知された場合、NVD の情報を優先して採用するロジックに変更しました。 NVD が専門家による手動分析に基づいているのに対し、VulnCheck NVD++ は機械的なデータ収集を主としており、情報の確度において NVD が優位であると判断したためです。 これにより、データベース間の定義の差異(例:バージョン範囲定義の違い)による過検知が減少します。 なお、VulnCheck NVD++ にのみ存在する脆弱性情報については、網羅性を確保するため、引き続き検知対象とします。 Scanner InstallerがAmazon Linux環境で正しく動作しない不具合を修正
Amazon Linux 2環境でのスキャナインストール時に、 dnf コマンドが見つからずエラーになる不具合を修正しました。 Amazon Linux 2では yum 、Amazon Linux 2023以降では dnf をデフォルトで使用するようにインストーラを修正しました。 SSVC優先度判定が正しく行われない不具合を修正
一部処理において、SSVC の優先度が正しく判定されない場合がある不具合を修正しました。 Amazon Inspector SBOMインポート機能でリソース数が多い場合にエラーになる不具合を修正
Amazon Inspector SBOM インポート機能において、1つのグループに11以上の AWS リソースがある場合にエラーが出る不具合を修正しました。 Amazon Inspector SBOMインポート対象サーバのOS情報が意図せず上書きされる不具合を修正
Amazon Inspector SBOM インポート対象の EC2 または ECR サーバに対し、SBOM 連携で取得した OS 情報が脆弱性スキャン処理によって上書きされてしまう不具合を修正しました。 Amazon Inspector SBOMインポート機能の対応リージョンを拡大
アジアパシフィック (東京) ( ap-northeast-1 ) 以外の以下のリージョンでも Amazon Inspector SBOM のインポート設定が可能になるよう対応しました。 米国東部 (バージニア北部) ( us-east-1 ) 米国西部 (オレゴン) ( us-west-2 ) アジアパシフィック (大阪) ( ap-northeast-3 ) アジアパシフィック (ムンバイ) ( ap-south-1 ) 対象リージョンは 機能追加要望 ベースで順次拡大予定です。 タスク初回検知時に優先度自動設定が反映されない不具合を修正
タスクの初回検知時にスペシャル警戒タグ、自動脆弱性優先度等のトリアージ設定による優先度変更が反映されない不具合を修正しました。 脆弱性スキャンのパフォーマンスを改善
脆弱性スキャンのパフォーマンスチューニングを実施しました。 SBOMスキャンで内部エラーが発生する不具合を修正
Amazon Inspector SBOM インポート機能設定後、SBOM スキャンにて特定状況下で内部エラーが発生する不具合を修正しました。 グループセットAPIにソフトウェア関連のフィルタ・エンドポイントを追加
グループセット API のソフトウェア一覧取得( /v1/groupSet/pkgCpes )に以下のフィルタを追加しました。 filterSupplyChainRiskUpdatedAtAfter : 指定時刻以降にサプライチェーンリスクが更新されたソフトウェアを取得 filterCreatedAtAfter : 指定時刻以降に作成されたソフトウェアを取得 また、削除されたソフトウェアを取得する新しいエンドポイント /v1/groupSet/deletedPkgCpes を追加しました。 詳しくは API ドキュメント および API サンプル を参照してください。
security2025-12-22
2025-12-22 リリース内容
スキャナの更新が必要です 今回のリリースにはスキャナの更新を必要とする機能改善が含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。 スキャナのバグ修正は 最新版にのみ適用 されます。 スキャナの更新方法は こちら です。自動更新オプションもご活用ください。 対象 スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.36.3 Version: 2025/10 Windows用 [NEW] vuls v0.36.3 Version: 2025/04 Trivy v0.66.0 Version: 2025/04 新機能:Amazon Inspector SBOMのインポート
AWS Inspector v2の SBOM Export 機能と連携し、脆弱性の有無にかかわらずソフトウェアを網羅的に把握できるようになりました。これにより、より包括的なソフトウェアサプライチェーンリスク管理(EOL 管理、ライセンス管理など)が可能になります。 対象リソースと取得できる情報
リソース 取得できる情報 EC2 インスタンス OS パッケージ、アプリケーションライブラリ Lambda 関数 ランタイムとアプリケーションライブラリ ECR イメージ コンテナ内の OS パッケージ、アプリケーションライブラリ 設定方法
本設定は任意です SBOM Export を設定しない場合でも、Amazon Inspector を利用した脆弱性検知(EC2/Lambda/ECR)は引き続きご利用いただけます。 ただし、「脆弱性が検知されていないソフトウェア」も含めた全ソフトウェアの可視化や、EOL管理・ライセンス管理機能を利用したい場合は、本設定が必要です。 1. FutureVuls 画面で SBOM Export を有効化
グループ設定画面 > 外部連携 > AWS から「Inspector SBOM エクスポート」の設定を押下してください。 2. CloudFormation でIAM権限を追加
FutureVuls から提供される CloudFormation テンプレートを使用して、既存の IAM ユーザ/ロールに SBOM Export 用の権限を追加します。 以下の権限が追加されます: 対象サービス 権限 Inspector2 CreateSbomExport , GetSbomExport , CancelSbomExport , BatchGetAccountStatus , ListFindings S3 PutObject , PutObjectAcl , GetBucketLocation (指定バケットのみ) KMS Decrypt , Encrypt , GenerateDataKey (指定キーのみ) 3. 自動連携の開始
一度設定すると、FutureVuls による定期自動スキャンのたびに SBOM Export が実行され、エクスポートされた SBOM が FutureVuls に取り込まれます。 サーバ詳細画面からの 手動スキャン では SBOM Export は実行されないのでご注意ください。 手動実行は、グループ設定画面 > グループ から INSPECTOR SBOM 一括スキャンを利用してください。 なお、この一括スキャンは1時間に1回のみ実行可能です。 取り込み後にできること
ソフトウェア一覧の確認 : 脆弱性の有無に関わらず、全てのソフトウェアを一覧で確認 EOL 管理 : サポート終了が近いソフトウェアの把握と対応計画 ライセンス管理 : 使用しているソフトウェアのライセンス情報の確認 サプライチェーンリスク管理 : ソフトウェア構成の可視化によるリスク評価 注意事項 Lambda 関数 : SBOM Export の対象は最新バージョンのみです。過去のバージョンは対象外となります。 ECR イメージ : FutureVuls に登録されているイメージタグのみが SBOM Export の対象となります。登録されていないイメージタグは対象外です。 Inspector2 の有効化 : 事前に AWS アカウントで Inspector2 を有効化しておく必要があります。 改良と仕様変更
Vulncheck NVD++における脆弱性過検知の修正
2025-11-11にリリースした CPE脆弱性検知の強化を目的としたVulncheck NVD++ 連携 により、既に対応済みの古い脆弱性が過検知される問題がありました。 これらの古い脆弱性を検知されないようにしました。既に作成されているタスクについては、スキャン実行後、 PATCH_APPLIED に自動遷移します。 既存タスクの削除について 本リリースの安定稼働確認後に過検知されたタスクは削除します。 AWS リソース脆弱性検知の改善
EC2、Lambda、ECR の脆弱性検知について、Amazon Inspector2 を優先的に使用するよう改善しました。これにより、Inspector2 Enhanced Scanning が有効な環境で、より正確な脆弱性情報を取得できるようになります。 各リソースの検知方法
リソース 検知方法 EC2 Inspector2 ListFindings API Lambda Inspector2 ListFindings API ECR Inspector2 → Basic Scanning(フォールバック) Inspector2 Enhanced Scanning と ECR Basic Scanning の違い
項目 Inspector2 Enhanced Scanning ECR Basic Scanning 対象リソース EC2、Lambda、ECR ECR のみ スキャンタイミング 継続的(新しい脆弱性発見時も自動再スキャン) イメージプッシュ時のみ スキャン対象期間 プッシュから一定期間(期限切れ後は SCAN_ELIGIBILITY_EXPIRED ) 制限なし 料金 有料(Inspector2 の料金) 無料 使用 API inspector2:ListFindings ecr:DescribeImageScanFindings Inspector2 Enhanced Scanning への移行をおすすめします ECR Basic Scanning から Inspector2 Enhanced Scanning に移行することで、以下のメリットがあります: 継続的なスキャン : イメージをプッシュしなくても、新しい脆弱性が発見された際に自動で再スキャンされます 最新の脆弱性情報 : 常に最新の脆弱性データベースに基づいた検知結果が得られます 統一的な管理 : EC2、Lambda、ECR を同じ Inspector2 で一元管理できます SBOM Export 連携 : Inspector2 の SBOM Export 機能と連携することで、ソフトウェア構成の可視化も可能です Inspector2 の有効化方法は AWS ドキュメント をご参照ください。 ECR の検知フロー
ECR イメージの脆弱性検知は以下の順序で実行されます: Inspector2 Enhanced Scanning を優先的に使用(継続スキャンによる最新の脆弱性情報を取得) Inspector2 で結果が取得できない場合、 ECR Basic Scanning にフォールバック 両方で結果が取得できない場合はエラー 脆弱性が検知されない場合の確認事項 EC2 / Lambda Inspector2 がアカウントで有効になっているか確認してください FutureVuls に登録した AWS 認証情報に inspector2:ListFindings 権限があるか確認してください ECR リポジトリ名が正しく登録されているか確認してください イメージのスキャン対象期間が有効か確認してください Inspector2 はプッシュから一定期間経過したイメージを自動的にスキャン対象外( SCAN_ELIGIBILITY_EXPIRED )にします AWS CLI で確認: aws inspector2 list-coverage --filter-criteria '{"resourceType":[{"comparison":"EQUALS","value":"AWS_ECR_CONTAINER_IMAGE"}],"ecrRepositoryName":[{"comparison":"EQUALS","value":"リポジトリ名"}]}' --query 'coveredResources[*].{status:scanStatus.statusCode,reason:scanStatus.reason}' Inspector2 Enhanced Scanning または ECR Basic Scanning のいずれかが有効になっているか確認してください オーガニゼーション削除時の通知とユーザアカウントの自動削除
オーガニゼーションを削除した際、所属している全ユーザに対して削除通知メールが送信されるようになりました。 また、オーガニゼーション削除から一定期間経過後、所属ユーザのアカウント情報も時間経過で削除されるように仕様を変更しました。 これにより、オーガニゼーション削除に伴うユーザ各自での退会処理や、管理者によるユーザ削除が不要になります。 詳細は オーガニゼーションの削除 をご確認ください。 その他
タスク数が多い環境でのタスク一覧画面の表示スピードを改善しました。 タスク及びサプライチェーンリスクの一括更新時にコメント投稿した際、複数のメール通知が届く不具合を修正しました。 os, library, github, aws_lambda, wordpress のソフトウェア種別に対し、cpe のバージョン自動更新がされない不具合を修正しました。 ソフトウェア登録・CPE/PURL 割当ダイアログの入力フォームを整理しました。 EOL 月次定期通知の送信日を毎月2日から1日に変更しました。 Windows 環境でインストーラーを実行した際、特定の時刻においてタスクスケジューラへの登録に失敗し、定期スキャンが設定されない問題を修正しました。 グループセット→グループへのロール継承機能について、 「ユーザがあるグループを含む複数のグループセットに異なる権限で所属している場合」 の挙動が仕様と異なる不具合を修正しました。 タスクコピー時にコピー先の SSVC Priority の値が null になる問題がありましたが、コピー先の値を維持するように修正しました。
security2025-12 [Hotfix]
2025-12-09 リリース内容
【緊急リリース】Next.js環境における脆弱性(React2Shell)検知ロジックの変更について
現在、React Server Components における深刻な脆弱性 CVE-2025-55182 (通称:React2Shell)が報告されています。 本脆弱性は「React Server Components 関連パッケージ(react-server-dom-webpack 等)」および「Next.js」の両方に影響を及ぼしますが、Next.js を利用している環境において、脆弱性の重大度が正しく評価されない(SSVC が低く算出される)課題が確認されました。 これを受け、FutureVuls ではユーザの皆様が本脆弱性を適切にトリアージできるよう、 Next.js環境における評価ロジックの緊急アップデート を実施いたしました。 1. 対応の概要
Next.js に対する脆弱性検知において、これまで検知されていた「GHSA-ID」に加え、実質的な根本原因である「CVE-ID」としても検知するように変更しました。 (※過去の検知履歴を保持するため、既存の GHSA-ID も継続して検知されます) 対象パッケージ 変更前 (Before) 変更後 (After) Next.js GHSA-9qr9-h5gf-34mp CVE-2025-55182 および GHSA-9qr9-h5gf-34mp React Server Components関連 (react-server-dom-webpack等) CVE-2025-55182 CVE-2025-55182 (変更なし) ※React Server Components 関連パッケージのみをご利用の環境では、以前より正しく CVE-ID で検知されており、本変更による影響はありません。 2. 対応の背景と理由
課題:SSVC評価が低く算出されてしまう問題
12/09 15:00 (JST) 時点で、 Next.js の脆弱性アドバイザリ(GHSA-9qr9-h5gf-34mp)に対応する CVE-ID が、GitHub Seciruty Advisory 上で Alias として登録されていない状況です。 (GHSA-9qr9-h5gf-34mp のデータソースは こちら ) これにより、Next.js の検知には有効な CVE-ID が紐付かない状態となり、以下の弊害が発生していました。 KEV(悪用が確認された脆弱性)として認識されない - 本来この脆弱性は KEV に登録されていますが、GHSA-ID 単体では KEV カタログとの照合が行われません。 SSVC評価が本来より低く算出されてしまう - KEV に該当しないと判定されるため、Exploitation(悪用状況)が「None」となり、SSVC の決定ロジックにより優先度が「Immediate(即時)」ではなく、本来より低く評価されていました。 FutureVulsでの特別対応
本脆弱性の深刻度と、すでに悪用が確認されている現状を鑑み、FutureVuls では以下の特別対応を実施しました。 Next.jsの検知(GHSA-9qr9-h5gf-34mp)に対し、根本原因である「CVE-2025-55182」もマッピングするよう変更 これにより、KEV 情報が正しく参照されるようになり、SSVC 判断が 「Immediate(即時対応)」 や 「Out-of-cycle(定例外対応)」 として適切に評価されるようになります。 3. ユーザ様へのお願い
本リリース適用後、次回スキャン時より Next.js の脆弱性が CVE-2025-55182 として検出されます。 対応のお願い: SSVC 評価が「Immediate」や「Out-of-cycle」に上昇する可能性があります。タスク一覧で CVE-2025-55182 を確認し、優先的に対応をご検討ください。 オーガニゼーション内の全サーバに対しスキャンを即時実行したい場合は、 全サーバ一括スキャン 機能をご利用ください。 注意点(タスクの移行について): これまで GHSA-9qr9-h5gf-34mp として検出されていたタスクは、これまでの対応履歴を保持するため、 そのままのステータスで検知され続けます 。 同時に、 別のタスク(新規タスク) として CVE-2025-55182 が検出されます。 新しい CVE-ID のタスクで管理する場合は、必要に応じて旧タスク(GHSA-ID)を手動でクローズ(または非表示)してください。 FutureVuls は、今後も最新のセキュリティ動向に合わせ、迅速かつ適切な脆弱性管理をサポートしてまいります。
security2025-11 [Hotfix]
2025-11 Hotfix リリース内容
今月の Hotfix リリースでは、以下を修正しました。 リリース内容に関して、ご不明点やご質問がございましたら、 サポート窓口 にお問い合わせください。 2025-11-12~2025-11-21 リリース内容
サーバコピー時にエラーが発生する不具合を修正
グループ間のサーバコピーを実施した際に、内部エラーが発生してコピーが完了しない不具合を修正しました。 CPE登録時のソフトウェア名表示形式を修正
CPE を登録した際、ソフトウェア名が URI 形式ではなくプロダクト名のみで表示されてしまう不具合を修正しました。 グループセットのCPE一覧取得APIのレスポンスに serverSoftwareID を追加
GET /v1/groupSet/pkgCpes (GetGroupSetPkgCpeList) のレスポンスに serverSoftwareID フィールドを追加しました。 タスク一覧からの非表示設定で「アップデートパッチがでるまで」が選択できない不具合を修正
タスク一覧からの非表示設定ダイアログで、「アップデートパッチがでるまで」のオプションが選択できない不具合を修正しました。 グループセット管理者権限を持つ場合の一部画面制御を修正
グループセット管理者権限を持つユーザが、オーガニゼーション設定のグループ画面でユーザ管理・グループ設定ボタンを押下できない場合がある不具合を修正しました。 グループのソフトウェア一覧が空の場合の表示を改善
グループのソフトウェア一覧にデータが存在しない場合、「左上からソフトウェア名で検索を行えます」という案内を表示するように改善しました。 SSMアップデートコマンドの文字化けを修正
SSM アップデートコマンド実行時に文字化けが発生する不具合を修正しました。 タスクの一括非表示解除ができない不具合を修正
タスク一覧画面からタスクの一括非表示解除を行おうとするとエラーになる不具合を修正しました。 タスクコピー終了時の文言を修正
タスクコピー終了後に表示されるメッセージをより分かりやすい文言に修正しました。 EOL随時通知の日付がタイムゾーンの影響でずれる不具合を修正
EOL 随時通知の日付がタイムゾーンの影響で、画面上の日付とずれて表示される不具合を修正しました。 マリシャス検知において、対象外のバージョンが誤検知される不具合を修正
あるソフトウェアの特定バージョンでマリシャス検知されると、マリシャス対象外のバージョンもマリシャスと検知されてしまう不具合を修正しました。検知処理の都合上、反映まで1週間程度かかる可能性があります。
security2025-11-11
2025-11-11 リリース内容
スキャナの更新が必要です 今回のリリースにはスキャナの更新を必要とする機能改善が含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。 - スキャナのバグ修正は 最新版にのみ適用 されます。 - スキャナの更新方法は こちら です。自動更新オプションもご活用ください。 対象 スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.35.1 [NEW] Version: 2025/10 Windows用 [NEW] vuls v0.35.1 Version: 2025/04 Trivy [NEW] v0.66.0 Version: 2025/04 主な新機能
今回のリリースでは、ソフトウェアサプライチェーンリスク管理の中核となる EOL 管理機能を大幅に強化し、外部サービスとの連携や検知精度の向上を実現する新機能を追加しました。 【大型機能】ソフトウェアサプライチェーンリスク・EOL管理の強化
ソフトウェアの EOL(End of Life/サポート終了)は、脆弱性と同様に重要なセキュリティリスクです。今回のリリースでは、EOL リスクの発見から棚卸し、対応管理までを FutureVuls 上で一元的に実施できる体制を整えました。 1. EOLの一元管理画面「サプライチェーンリスクタブ」の新設(CSIRTプラン限定)
グループおよびグループセット画面に 「サプライチェーンリスク」タブ を新設し、その配下の「EOL」サブタブで EOL を迎える、または迎えたソフトウェアを一元管理できるようになりました。 一覧画面でのリスク可視化 : 近日 EOL を迎えるソフトウェアや、既に EOL 済みのソフトウェアを一覧で把握できます。 グループセット画面では、配下グループ全体の対応状況を横断的にモニタリングでき、「どこから手を付けるべきか」の判断を支援します。 詳細画面での対応管理 : EOL の詳細情報 (期限、影響サーバ等)を確認しながら、優先度、担当者、対応期限などを設定し、対応方針をコメントで共有できます( @ によるメンション通知も可能)。 システム担当者による対応登録から、セキュリティ担当者による承認まで、一画面で完結します。 2. EOL通知機能の追加
EOL 期限の接近や対応状況の変化を 自動で通知 し、対応漏れを防ぎます。 通知種別 タイミング 主な内容 月次定期通知 毎月月初 グループ/グループセット内のEOL対応進捗サマリ 随時通知 新規EOL検知時など 新規EOL検知情報や、対応ステータスの変更 これにより、ソフトウェア更新の事前準備に必要な情報を計画的に把握できるようになります。 3. EOL検知の強化
EOL の検知対象と検知方法を大幅に拡張しました。 FutureVuls独自ロジックによるOSSのEOL検知
多くのオープンソースソフトウェア(OSS)では、 endoflife.date のような標準的なデータベースに EOL 日が登録されていなくても、明確に開発終了が宣言されている場合があります。 例えば、開発者によってリポジトリがアーカイブされたり、非推奨(deprecated)と宣言されるような場合が該当します。 今回のリリースでは、こうした公式に EOL が宣言された状態にある OSS を検出するため、FutureVuls 独自の解析ロジックを開発・導入しました。このロジックは、PURL を持つ OSS ライブラリについて、以下のような複数の情報源を複合的に分析し、endoflife.date などに公式な EOL 情報が掲載されていないソフトウェアのリスクをあぶり出します。 GitHubリポジトリの状態 : Archive 化されているなど、開発が停止していることを示すステータスを検知。 パッケージレジストリの情報 : 各種パッケージレジストリ上で EOL や deprecated としてマークされている情報を検知。 開発者による宣言 : README ファイルやドキュメント内に記載された「メンテナンス放棄」や「開発終了」といった宣言を解析。 本機能は既に FutureVuls をご利用のお客様環境で稼働しており、登録されている 約2万種類のOSSの解析が完了 しています。今後も継続的に解析対象を拡大し、これまで可視化が難しかったソフトウェアサプライチェーンリスクの低減を支援します。 その他の検知強化
検知対象の拡大 : Red Hat Enterprise Linux Application Streams の EOL 検知に新たに対応しました。 endoflife.date連携の強化 : これまで endoflife.date 掲載の OSS ライブラリの EOL 検知は PURL によって行っていましたが、今回のリリースで CPE による検知にも対応し、検知可能な範囲が拡大しました。 お客様によるEOL管理 : endoflife.date へ Pull Request を作成いただくことで、お客様自身で任意のソフトウェアの EOL を FutureVuls の 管理対象に加えることも可能です 。 4. EOL延長サポートの選択機能
延長サポートを契約している OS やソフトウェアについて、標準の EOL 日ではなく、延長サポート期限を EOL 日として採用できるようになりました。 5. 管理対象外ソフトウェアのステータス自動変更
「管理対象外」に設定されたソフトウェア は、ソフトウェアサプライチェーンリスクのステータスが自動的に RISK_ACCEPTED として設定されます。 【検知精度向上】Vulncheck NVD++連携によるCPE脆弱性検知の強化
CPE(共通プラットフォーム一覧)に基づく脆弱性検知のデータソースとして、新たに「Vulncheck NVD++」を追加しました。これにより、検知の網羅性と即時性が大幅に向上します。 NIST NVD と比較して、Vulncheck NVD++は CPE 情報をより広く、より速く提供します。VulnCheck 社の分析によれば、2024年に公開された CVE において、NVD の CPE カバー率が41.35%であるのに対し、 VulnCheckは76.95%をカバー しています。また、NVD と比較して 平均で96時間(4日間)以上も早くCPEを生成 しており、新たな脅威への迅速な対応を可能にします。 この連携強化により、これまで検知が難しかったソフトウェアの脆弱性を見つけ出し、より早いリスク対応が可能になります。 詳しくは VulnCheck社のブログ記事 もご参照ください。 既に対応済みの古い脆弱性が過検知される場合について 今回追加した「Vulncheck NVD++」では、一部 CVE に紐づく CPE のバージョン情報が欠落しており、ソフトウェアへ割り当てた CPE がバージョンを問わず脆弱性検知の対象となる場合があります。その結果、既に対応済みの古い脆弱性が過検知されることがあります。 これにより起票されたタスクは、お手数ですがステータスを手動で NOT_AFFECTED に変更してください。本件は 2025年12月中を目途に修正を予定しています。 【資産管理】ソフトウェア管理機能の強化
ソフトウェア資産の可視性と管理性を向上させるための機能を拡充しました。 グループ画面への「ソフトウェア」タブ追加 : これまでグループセットにしかなかったソフトウェアタブをグループ画面にも追加し、グループ内のソフトウェア資産を横断的に検索・確認できるようになりました。 CPE/PURLの手動割当機能 : スキャンで自動識別されないソフトウェアに対し、 手動で CPE や PURL を割り当てる機能 を追加しました。これにより、これまで難しかったソフトウェアの脆弱性や EOL 検知の精度を向上させることができます。 ソフトウェア共通機能の拡張 : 管理対象外設定や関連タスクの確認などを、ソフトウェアの種別を問わず共通の操作性で実行できるようになりました。 OSSライセンス表記のSPDX IDへの統一 : ソフトウェア詳細画面などで表示される OSS ライセンスの表記を、 SPDX License List で定義された Identifier 形式に正規化しました。これにより、ライセンス表記の揺れがなくなり、外部ツールとの連携やライセンス管理の自動化が容易になります。 SPDX形式でのSBOMエクスポート
FutureVuls に登録されているサーバの構成情報を、 SPDX JSON 形式でもエクスポート できるようになりました。 サーバ詳細の右上に表示されている「SBOM ファイルのダウンロード」から、 SPDX JSON を選択してください。 複数のサーバを選択して SBOM エクスポートする機能について FutureVuls に登録されている複数のサーバを選択して、SBOM 形式でエクスポートする機能( マニュアル )については、2025年11月現在で CycloneDX 形式でのエクスポートにのみ対応しています。 SPDX 形式でのエクスポートについては、今後のリリースで対応する計画です。 その他の改良と仕様変更
【重要】APIをご利用のお客様へ:破壊的変更とレートリミット導入のお知らせ
ソフトウェアIDの変更について
今回のリリースに含まれる「ソフトウェア管理 DB の刷新」に伴い、 一部ソフトウェアのIDが変更 されています。 背景 : パフォーマンスと将来の拡張性向上のため、内部データベース構造を全面的に刷新しました。これにより、OS、ライブラリ、GitHub 経由など、これまで個別に管理されていたソフトウェア情報が新しいテーブル構造に統合されました。 影響 : API で取得したソフトウェア ID を外部で保存・再利用しているスクリプトは、ID の変更により動作しなくなる可能性があります。お手数ですが、本リリース後に連携プログラムが正常に動作しているかご確認いただき、必要に応じて修正をご検討ください。 APIレートリミット導入の事前予告とバッチ取得APIの追加
サービスの安定性維持のため、 2026年前半(2月〜3月頃) を目処に、APIトークンごとに 1分間あたり20リクエスト のレートリミットを導入する予定です。 これに先立ち、高頻度のリクエストをされているお客様への影響を緩和するため、複数の情報を一度に取得できる以下のバッチ取得 API を新たに追加しました。 タスクコメントバッチ取得 API ( GET /v1/taskComments ) グループセット脆弱性情報取得 API ( GET /v1/groupSet/cveVulnInfos ) 現在、1分間に20リクエストを超える頻度で API をご利用の場合は、レートリミット導入までに、これらのバッチ取得 API を利用するよう実装の変更をご検討ください。 詳細は「 APIサンプル 」や「 APIドキュメント 」を参照してください。 API関連
SBOM関連APIの拡充 : SBOM の CRUD 操作や、サーバ情報の SBOM 形式でのダウンロードが可能になりました。旧 API( /v1/lockfile/sbom )は非推奨となりますので、新 API( /v1/sbom )への移行をお願いします。詳しくは APIドキュメント を参照してください。 LLMサマリのAPI取得 : 脆弱性詳細取得 API で、AI による脆弱性・脅威情報のサマリを取得できるようになりました。 タスク一覧APIの拡張 : レスポンスに SSVC 関連フィールドなどを追加しました。 タスクコメントの修正 : PublicAPI 経由で脆弱性を非表示にした際、タスクコメントに更新元が API であることが明示されるようになりました。 パフォーマンス・安定性
表示・処理速度の改善 : タスク数が多い環境でのタスク一覧画面の表示や、タスクコピー処理がタイムアウトする問題を解消しました。 Linuxインストーラの安定性向上 : 特定環境でインストーラがハングする問題を解消するため、OS パッケージ状態の事前チェック処理を追加しました。 検知精度
AIサマリの再生成 : ユーザがフィードバックを送信した際に、その内容を反映して AI サマリが再生成されるようになりました。 不正CPE生成の修正 : ネットワーク機器をコマンドで登録する 際、構成要素にスペースを含む不正な CPE が生成される問題を修正しました。 !!! warning "対応が必要な作業" この修正を適用するには、 snmp2cpe の最新バイナリへの更新が必要です。 UI/UX
所属情報画面の改善 : ログイン後の所属情報画面のレイアウトを変更し、グループ/グループセットのフィルタ機能を追加しました。 一覧画面メニューの整理 : 利用頻度の低いボタンを「設定」ボタン内に集約し、メニューをシンプルにしました。 仕様変更・その他
CSVレポートへの項目追加 : CSV レポートの出力項目に「SSVC PRIORITY」を追加しました。 「OWASP Top 10」列の削除 : 各画面および CSV 出力から「OWASP Top 10」列を削除しました。 プラットフォーム対応 : スキャン対象 OS として Debian 13 (Trixie)をサポートしました。 Trivyのバージョンアップ : Trivy を v0.66.0に更新しました。詳細は Trivyのサイト を参照ください。 タスク API に location フィールドを追加 : タスク API のレスポンスで、ソフトウェア情報に、 location フィールドがある場合はレスポンスに含めるよう修正しました。これにより、ライブラリがどのアプリケーションに紐づくか識別できるようになりました。 SBOM機能に関する修正 : FutureVuls 上の Ubuntu 及び Debian のサーバ情報を SBOM ファイルとしてエクスポートして再度インポートした際に、一部の脆弱性の検知に失敗する問題を修正しました。該当の SBOM サーバを作成済みの場合は、再度インポートのし直しをお願いします。 「別サーバの情報をコピー」時に、一部システムコメントをコピーしないように : 以下のシステムコメントをコピー対象から除外する仕様に変更しました。 「~ の脆弱性が検知対象外になったため、関連するソフトウェアから削除されました」 「~ が検知されたため、関連するソフトウェアに追加されました」 【近日公開予定】AWS Inspector SBOM Export 連携機能
現在、AWS Inspector v2の SBOM Export 機能との連携強化を実装中です。この機能は近日中のリリースを予定しており、実現すると AWS 環境のソフトウェアを網羅的に把握できるようになります。 これにより、脆弱性の有無にかかわらず、ソフトウェアを網羅的に把握し、より包括的なソフトウェアサプライチェーンリスク管理(EOL 管理、ライセンス管理など)が可能になります。 機能概要
簡単な設定 : FutureVuls 上での有効化と、AWS 側での CloudFormation テンプレート適用で、数分で設定が完了します。 自動連携 : 一度設定すれば、FutureVuls のスキャン時に自動で SBOM がインポートされます。 対応リソース : EC2インスタンス、Lambda 関数、ECR イメージ内の OS パッケージとアプリケーションライブラリ。 ご期待ください 本機能は、お客様のソフトウェア資産管理を大きく向上させる重要な機能と位置づけております。リリース準備が整い次第、改めてご案内いたします。
security2025-09 [Hotfix]
2025-09 Hotfix リリース内容
今月の Hotfix リリースでは、以下を修正しました。 リリース内容に関して、ご不明点やご質問がございましたら、 サポート窓口 にお問い合わせください。 2025-09-09 リリース内容
スキャナの更新 サーバに導入済みのスキャナは定期的に更新してください。 スキャナのバグ修正は 最新版にのみ適用 されます。 古いスキャナでは最新機能を利用できない場合があります。 スキャナの更新方法は こちら です。自動更新オプションを活用してください。 2025年09月09日リリースのスキャナバージョン
OS スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.34.0 Version: 2025/04 Windows用 [NEW] vuls v0.34.0 Version: 2025/04 Trivy v0.57.1 Version: 2025/04 Windows環境でのバイナリスキャン不具合を修正
Windows 環境で JAR ファイルなどのバイナリファイルのスキャンが正常に動作しない不具合を修正しました。 不具合の内容
Windows 環境でバイナリファイルをスキャンする際に、以下のエラーが発生してファイルを正しく読み込むことができませんでした。
Failed to parse
Windows 環境でのバイナリファイルの読み取り処理を改善し、正常にスキャンできるようになりました。 この不具合は、Windows 環境でバイナリファイルを処理する際の内部的な読み取り方式に問題があったことが原因でした。今回の修正により、JAR ファイルなどが適切にアーカイブとして認識され、内部のライブラリ情報を正しく取得できるようになります。 効果
Windows 環境でのローカルスキャンで JAR ファイルなどのバイナリファイルが正常に読み込まれます。 Linux 環境から Windows 環境へのリモートスキャンで JAR ファイルなどのバイナリファイルが正常に読み込まれます。 注意事項
今回の修正は Windows 環境でのファイル読み取り処理を改善するものですが、 以前からの制約として、Windows 環境のスキャナで Linux 向けにビルドされた実行ファイル(Go や Rust のバイナリ等)をスキャン対象とした場合、内部構造を正しく解析できず、脆弱性が検知されない場合がございます。 こちらは、スキャナの仕様上の制約となります。Linux 向けの実行ファイルをスキャンする際は、Linux 用スキャナをご利用ください。
security2025-07-14
2025-07-14 リリース内容
スキャナの更新 サーバに導入済みのスキャナは定期的に更新してください。 スキャナのバグ修正は 最新版にのみ適用 されます。 古いスキャナでは最新機能を利用できない場合があります。 スキャナの更新方法は こちら です。自動更新オプションを活用してください。 2025年07月14日リリースのスキャナバージョン
スキャナのバージョン統合 Linux 用スキャナと Windows 用スキャナのバージョン統合を行いました。 今後は Linux 用スキャナと Windows 用スキャナのバージョンが同じになります。 スキャナのバージョンの確認方法は「 こちら 」からご確認ください。 OS スキャナバージョン スキャン実行スクリプト Linux 用 [NEW] vuls v0.33.1 Version: 2025/04 Windows 用 [NEW] vuls v0.33.1 Version: 2025/04 Trivy v0.57.1 Version: 2025/04 新機能
Cisco・Palo Alto 機器の脆弱性管理を強化:ネットワークディスカバリーとの連携で検知精度が向上
今回のアップデートで、 Palo Alto Networks と Cisco Systems のセキュリティアドバイザリを FutureVuls に独自に取り込みました。 これにより、以前からご好評をいただいている Fortinet 社製品と同様の、 「発見から高精度な検知まで」 という一気通貫の脆弱性管理が、Cisco、Palo Alto 製品でも可能になります。 アップデートで実現する強力な連携
FutureVuls の ネットワークディスカバリー機能 は、これまでもお客様のネットワークに接続された Cisco や Palo Alto などの機器を自動で発見できていました。しかし、脆弱性スキャンは NVD 情報に依存していたため、最新の脆弱性検知にタイムラグが生じるという課題がありました。 今回のアップデートでベンダーアドバイザリと直接連携したことにより、このワークフローが大幅に強化されます。 ステップ 1: 管理外の機器を発見(従来機能) ネットワークディスカバリー機能で、資産管理されていない "野良ネットワーク機器" となっている Cisco・Palo Alto 機器を発見します。 ステップ 2: 高精度・迅速に脆弱性を検知(今回強化) 発見した機器に対し、NVD への登録を待つことなく、ベンダー独自の高鮮度な情報で脆弱性をスキャン。これにより、 検知のタイムラグを解消 し、本当のリスクを迅速に把握できます。 この連携は、管理下にない機器がもたらすセキュリティリスクを根本から低減させる、FutureVuls の強みです。ぜひこの機会にご活用ください。 (ご参考: 以前の Fortinet 社製品向け機能のリリース内容 ) LLM による脆弱性サマリ・脅威情報サマリの自動表示
脆弱性詳細画面に、LLM (大規模言語モデル)によって自動生成されたサマリを表示する機能を追加しました。 脆弱性サマリ :全ての CVE に対し、NVD や各ベンダー情報・CVSS・CWE・EPSS などをもとに要約を自動生成します。 脅威情報サマリ :実際に悪用が確認された CVE (SSVC 「Exploitation」が Active、または KEV 登録済み)に対して、攻撃事例や対処策を要約します。 この機能により、セキュリティの専門家でなくても脆弱性の概要や重要度を把握しやすくなります。 LLM サマリ情報の取り扱い LLM サマリは参考情報です。最終的な判断は、必ず一次情報や公式情報をご確認ください。2025 年 7 月リリース時点では、脅威情報は毎日更新されますが、更新頻度は将来変更される可能性があります。 Immediate なタスク検知時の Slack 通知
SSVC Priority が 「Immediate」 のタスクを検知した際に、Slack へ通知できるようになりました。 Immediate タスクごとに 1 件通知 通知スレッドで対応状況を記録・共有可能 通知から LLM による脆弱性サマリ も確認可能 設定方法は Slack App 通知設定 を参照してください。 Windows 上で lockfile のスキャンが可能に
これまで Linux のみの対応だった lockfile スキャンが、Windows でも利用可能になりました。 これにより、Windows 上の OS パッケージと lockfile ライブラリを、FutureVuls で 一つのサーバ情報として一元管理 できます。 CSV 形式でのソフトウェア情報登録機能
FutureVuls にソフトウェア情報を登録する際、CPE 形式だけでなく「プロダクト名,バージョン, ベンダー 名」の CSV 形式でも登録できるようになりました。 登録後は、 CPE/PURLの手動割当機能 で簡単に CPE の割り当てを行え、脆弱性検知の対象にできます。 詳細は「 ソフトウェア登録のマニュアル 」を参照してください。 各脆弱性の検知根拠をまとめた Web サイト「VulsDB」を公開
FutureVuls で検知された各脆弱性の最新の検知条件をまとめた Web サイト「VulsDB」( https://cve.vuls.biz/ )を公開しました。 FutureVuls のタスク詳細からもリンクしており、各 CVE-ID の検知条件をすぐに確認できます。 主なユースケース
FutureVuls で検知された脆弱性について、その検知条件を調査する FutureVuls で検知されなかった脆弱性について、なぜ検知対象外だったのかを調査する 2025 年 7 月現在、Red Hat Enterprise Linux や AlmaLinux をはじめとする、主要な OS の脆弱性情報に対応しています。 今後、継続してサポート対象を増やしていく予定です。 改良
グループセットのタスクタブでページングサイズを選択可能に
グループセットのタスクタブで、一度に表示するタスクの件数を 30、50、100、200、500 件から選択できるようになりました。 これにより、大量のタスクをより効率的に確認・管理できます。 タスク一覧取得 API にステータス更新日時でのフィルタ条件を追加
グループ・グループセット内のタスク一覧を取得できる FutureVuls API に、「ステータス更新日時」でのフィルタ条件を追加しました。 例えば、「2025 年 7 月 14 日以降にステータスが PATCH_APPLIED に切り替わったタスク一覧」は、次のように抽出できます。 curl -s -H 'accept: application/json' -H 'Authorization:xxxxxxxxxxxxx' 'https://rest.vuls.biz/v1/groupSet/tasks?filterStatusUpdatedAtAfter=2025-07-14T00:00:00Z&filterStatus=patch_applied' 詳細は API ドキュメント を参照してください。 NVD 検索リンクを JVN チェックオフ時にも表示
CPE の追加・割り当てダイアログで、JVN チェックボックスがオフの際にも NVD 検索ページのリンクを表示するようになりました。 これにより、CPE の NVD 登録状況をより簡単に確認できます。 優先度設定マニュアルの改善
脆弱性優先度とタスク優先度の設定方法や、優先度が継承されるタイミングについてマニュアルを追記・改善しました。 修正されたマニュアルは こちら を参照してください。 Inspector で検知した脆弱性が、FutureVuls 上でパッチ適用が可能に
Amazon Inspector を連携しているインスタンスで、脆弱性の検知からパッチ適用までの一連の作業が FutureVuls 上で完結できるようになりました。 これまで AWS マネジメントコンソールで行う必要があったパッチ適用作業が必要なくなり、FutureVuls の画面から SSM アップデート の実行や、手動で適用するための アップデートコマンド の取得が可能になります。 本機能は、SSM エージェントがインストールされた以下の OS を搭載したインスタンスでご利用いただけます。 Amazon Linux AlmaLinux CentOS Debian Fedora Oracle Linux Red Hat Enterprise Linux Rocky Linux SUSE Linux Enterprise Server (SLES) Ubuntu IdP-Initiated SSO 認証の不具合修正
IdP-Initiated 経由の SSO 認証で、認証処理後の FutureVuls ページへの遷移が不安定になる問題を修正しました。 これにより、FutureVuls でログアウトしないまま Okta などの IdP ダッシュボードから再度ログインしようとすると、ログインページに戻されてしまう問題が解消されます。 この修正に伴い、大変お手数ですが、IdP-Initiated SSO をご利用のオーガニゼーション(SAML IDP の登録時に「IdP-initiated SSO を受け付ける」を有効にしている場合)では、 RelayState の再登録をお願いいたします 。 お使いの IdP の管理画面にて、FutureVuls のオーガニゼーション設定画面に表示される RelayState を再度入力してください。 Okta の場合 : 管理画面の [アプリケーション] > [サインオン] > [設定] から、SAML 2.0 の「デフォルトのリレー状態」に入力します。 OneLogin の場合 : 管理画面の [Application] > [Configuration] > [Application details] から、「RelayState」に入力します。 RelayState は、FutureVuls の [オーガニゼーション設定] > [セキュリティ] > [SAML IdP の登録] にある「IdP 情報の編集」ボタンをクリックすると表示されます。 仕様変更
ユーザ管理システムの大幅改修
より効率的で安全なユーザ管理を実現するため、ユーザ管理システムを大幅に改修しました。すべてのアカウントがオーガニゼーションに所属する新しい構造へ移行します。 すべてのユーザは、必ずいずれかのオーガニゼーションに所属します。 複数のオーガニゼーションに所属している場合、ログイン時にアクセスするオーガニゼーションを選択します。 オーガニゼーション管理者による一元的なユーザ管理が可能になります。 承認フローが廃止され、ユーザ追加処理が即時反映されるようになりました。 SSO 情報の共有機能を廃止し、各オーガニゼーションで独立して設定する仕様に変更しました。 この仕様変更によるお客様への影響は下記のとおりです。 単一のオーガニゼーションにのみ所属している場合、通常の操作フローに変更はありません。 複数のオーガニゼーションに所属している場合、ログイン時にオーガニゼーションを選択する手順が追加されます。 Linux / Windows スキャナのバージョン統一
Windows ホストから Linux ターゲットをスキャンする場合に、ホスト側の Windows スキャナのバージョンが使用され、最新版の Linux スキャナでスキャンが行われない問題がありました。この問題を解決するため、 Linux 用と Windows 用のスキャナバージョンを統一し、常に最新のバージョンでスキャンが実行されるようになりました。 スキャナによるスキャン結果のアップロード失敗時にもスキャン結果ファイルが削除されるように変更
従来は、スキャン結果のアップロードに成功した場合にのみスキャン結果の JSON ファイルを削除していましたが、古いスキャン結果が残存することを防ぐため、 アップロードの成否にかかわらず スキャン完了後には JSON ファイルを削除する仕様に変更しました。 お使いの環境に古いスキャン結果ファイルが残存している場合は、手動での削除をお願いいたします。 Trivy スキャン時のサーバ名仕様変更
Trivy スキャン時に登録されるサーバ名を「イメージ名のみ」に変更し、サーバ一覧ではイメージ名とイメージタグを個別のカラムとして表示するようにしました
security2025-05 [Hotfix]
2025-05 Hotfix リリース内容
今月の Hotfix リリースでは、以下を修正しました。 リリース内容に関して、ご不明点やご質問がございましたら、 サポート窓口 にお問い合わせください。 2025-05-02 リリース内容
SSVC 精度向上のため、JPCERT/CC の Windows パッチ注意喚起を PoC 判定から除外
JPCERT/CC が発表する Windows 定期セキュリティパッチの注意喚起を、 Exploitation: PoC とみなさないように調整し、SSVC の判定精度を向上させました。 背景
これまで FutureVuls では、JPCERT/CC が発表する Windows 定期セキュリティパッチの注意喚起 (例: https://www.jpcert.or.jp/at/2019/at190032.html )を 「PoC(概念実証コード)が公開済みの脆弱性」 と判定していました。 その結果、定期セキュリティパッチに含まれる多数の CVE が PoC あり と誤って評価され、対応すべき脆弱性を選定する際のノイズとなるケースがありました。 変更点
以下の条件を満たすタスクについては、他の条件(例: Metasploit に攻撃モジュールが存在する など)が 同時に成立しない限り 、 PoC あり と判定しないよう仕様を変更しました。 脆弱性詳細の警戒情報 欄に JPCERT/CC による Windows 定期セキュリティパッチの注意喚起 のみ が記載されている 条件を満たさない場合 上記 Windows 定例パッチの注意喚起 以外の JPCERT/CC の注意喚起は、 引き続き PoC あり と判定され、SSVC に反映されます。 効果
Windows 月例パッチに関連するタスクが不要に PoC あり と判断されなくなります。 SSVC 優先度判定の精度が向上 し、ノイズが低減されます。 真に緊急対応が必要なタスクを迅速かつ的確に特定できます。 2025-05-07 リリース内容
タスクコメント内でメンションされたユーザにメール通知が飛ばない不具合の修正
4/21 から 5/7 にかけて、タスクコメント内でメンションされたユーザにメール通知が飛ばない不具合が発生しておりました。 5/7 20:00 頃に不具合を修正しましたので、以降はメンションされたユーザに対し、通知が飛ぶようになっております。 2025-05-15 リリース内容
SBOMインポート時の誤検知を修正:バージョン情報のepoch値取り込み不備を解消
SBOM ファイルをインポートする際に、ソフトウェアバージョンの epoch 値が正しく取り込まれない不具合を修正しました。 この不具合により、一部のソフトウェアでは誤検知が発生しており、修正を適用するにはSBOMファイルの再インポートが必要です。 本不具合の影響を受けるお客様
epoch を用いたバージョン管理が行われているソフトウェアを、SBOM ファイル経由で FutureVuls に取り込まれているお客様が対象です。 本不具合による影響詳細
脆弱性検知時には「お使いのソフトウェアバージョン番号」と「脆弱性修正後のソフトウェアバージョン番号」の比較を実施しており、まず最初に epoch バージョンの比較をします。 修正前の状態では、SBOM ファイルからインポートされた全てのソフトウェアの epoch バージョンは 0 として取り込まれていたため、epoch バージョン 1 以降のバージョンで修正された脆弱性が全て検知対象となる不具合が発生しておりました。 お客様へのお願い:SBOM ファイルの再インポート
本不具合の修正を適用するには、SBOM ファイルを再インポートする必要がございます。 epoch を用いたバージョン管理が行われているソフトウェアをお使いの方は SBOM ファイルの更新 の実施をお願いいたします。
security2025-04-21
2025-04-21 リリース内容
サーバに導入済みのスキャナは定期的に更新してください。 スキャナのバグ修正は 最新版にのみ適用 されます。 古いスキャナでは最新機能を利用できない場合があります。 スキャナの更新方法は「 こちら 」です。自動更新オプションを活用してください。 スキャナのバージョンの確認方法は「 こちら 」です。 2025年04月21日リリースのスキャナバージョン
OS スキャナバージョン スキャン実行スクリプト Linux用 vuls v0.29.0 [NEW] Version: 2025/04 Windows用 vuls v0.25.2 [NEW] Version: 2025/04 Trivy 0.57.1 [NEW] Version: 2025/04 新機能
オーガニゼーションの管理者(オーナ)が作成した「表示設定」(列の表示/非表示、並び順、フィルタ条件、ソート条件)を、オーガニゼーション内の全メンバが利用できる機能です。 オーガニゼーション管理者は、複数の「一覧テンプレ」をオーガニゼーション設定で作成・登録可能です。 全ユーザは一覧の上部メニューの「一覧テンプレ」から簡単に設定を反映できます。 オーガニゼーション管理者がテンプレを修正すれば、全ユーザが同じ表示設定を共有できます。 保存される情報: 列の表示・非表示、並び順、フィルタ条件、ソート条件 ユースケース
全社統一ルールの適用 : SSVC や CVSS など重要な項目に合わせたビューを全メンバで共有可能。 オンボーディングの簡略化 : 新規メンバも既存メンバと同じ表示設定をすぐ利用可能。 設定方法
オーナによるビュー作成 : オーガニゼーション設定 > 一覧テンプレ で表示設定を決め、「追加」ボタンで保存。 ユーザによるビュー選択 : テーブル上部「一覧テンプレ」から選ぶだけで設定が反映。 2. 「閲覧権限のみ」権限 — 他グループの対応状況を確認可能に
グループやグループセットへ「閲覧専用」で参加できる権限を追加しました。 閲覧とタスクコメント投稿 だけに権限を制限でき、社内ナレッジを安全に共有できます。 ある脆弱性について、他グループの対応を確認したい場合にご利用ください。 メンバ権限の画面例
閲覧権限のみの画面例
追加内容 詳細 主な利点 SBOM のマージ機能 サーバを複数選び1つの SBOM にマージ 複数のサーバから構成される製品のSBOM生成に便利 脆弱性のない CPE も出力 出力に含まれないCPEがある問題を修正 サーバ・製品の全資産を出力可能に PURL 生成精度向上 OSSやOSパッケージ情報からPURLへのマッピング機能を改良 再インポート時の EOL 判定が正確に 4. CPE リコメンド精度向上
Windows にインストールされたサードパーティ製ソフトウェアは、 CPE を割り当ててはじめて脆弱性検知の対象 になります。FutureVuls では、その割り当てを支援するために「推奨 CPE(リコメンド)」機能を提供しています (参考: ブログ記事 「Windows のサードパーティソフトウェアの脆弱性検知がもっとラクに」 )。 今回のリリースでは、リコメンド機能のアルゴリズムを刷新しました。主な変更点は次のとおりです。 割り当て実績が多い CPE 上位 3 件 を提示 Deprecated(非推奨)CPE を自動的に除外 これにより CPE の割り当てがより楽に正確になりました。 5. CPE 追加/割り当てダイアログに NVD 検索リンク
CPE 割り当てダイアログから NVD の CPE 検索ページ へ直接遷移でき、 登録の有無や Deprecated かを即確認できます。 6. SAML 連携で IdP‑initiated SSO に対応
IdP 側ポータルから直接 FutureVuls へ遷移可能に。詳細は マニュアル をご覧ください。 7. ダッシュボード「グループセット サマリ」を新設
グループセットの総脆弱性件数・対応進捗を最上段に集約表示し、CSIRT でも全体状況を一目で把握可能。 8. グループセットからのユーザ一括管理
複数ユーザの追加・削除・権限変更をまとめて実行でき、組織改編時の管理負荷を大幅に軽減。 9. ECR 連携 — リポジトリを一括選択で登録
AWS ECR 連携時に複数リポジトリをチェックボックスで一括登録できます。 詳細は ECRコンテナレジストリ連携 にてご確認ください。 10. 新タスクステータス ALT_RESOLVED
設定変更、機能無効化、ブロックルール適用など、脆弱性にパッチを当てる以外の方法で解決した状態を表す ALT_RESOLVED を追加しました。詳細は タスクステータス にてご確認ください。 11. サーバタグ追加・削除 API
REST API でサーバタグ管理を自動化。詳細は FutureVuls API にてご確認ください。 仕様変更・改善
変更点 影響・メリット ダッシュボードの「KEV に含まれる未対応」項目を削除 SSVC で KEV を考慮しているため、重複となる同項目を削除。ダッシュボードは「重要な未対応」に集約し見やすく 表示名を「サーバ」から「サーバ・製品」に統一 サーバ・自社製品・ネットワーク機器やアプライアンスも対象であることを明確化 一覧画面の優先度 HIGH の強調表示を廃止 一覧画面を見やすく プロセス実行中アイコン刷新 状態を 3 種類に整理し、視認性向上 CVSS スコア差異修正 一覧と詳細で値が異なるケースがあった問題を改善 タスクコメント更新日時の正確化 コメント投稿時にコメント更新日時が正しく更新されるよう修正 メール通知の詳細変更
種類 具体的な変更点 Daily / Weekly レポート ・警戒タグ通知に タスク数 と 対応期限 を追加 ・「マイタスク」ボタンと担当サーバ区分を廃止 ・レイアウト崩れを修正 一括メール送信 To 送信から BCC 送信へ切り替え 実行者 CC 追加 以下の通知メールの CC に操作実行者を自動追加: ・タスク(単体 / 一括)更新 ・タスクコメント登録 ・PSIRT レスポンス更新 ・PSIRT レスポンスコメント登録 ・オーガニゼーションの有償化
security2025-02-05
2025-02-05 リリース内容
サーバに導入済みのスキャナは定期的に更新してください。 スキャナのバグ修正は 最新版にのみ適用 されます。 古いスキャナでは最新機能を利用できない場合があります。 スキャナの更新方法は こちら です。自動更新オプションを活用してください。 2025年02月05日リリースのスキャナバージョン
( スキャナバージョンの確認方法 ) OS スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.29.0 Version: 2024/02 Windows用 vuls v0.25.2 [NEW] Version: 2025/02 Trivy 0.57.1 2024/04 Red Hat Enterprise Linux のスキャナ、ペーストスキャンはできる限り早く更新をお願いします
未修正(unfixed)の脆弱性をまったく検知できないリスクがあります。 2024-12-16 リリースより前のスキャナ( vuls v0.28.0 よりも古いバージョン)やペーストスキャンのコマンドを使っている場合には、2025年4月頃を予定している次回のリリースで未修正の脆弱性を検知できなくなります。次のリリースまでには新しいスキャナ( vuls v0.28.0 以降のバージョン)の利用、およびペーストスキャンの新しいコマンドでの情報更新をおこなってください。 ペーストスキャンの新しいコマンドについては こちら をご参照ください。 2025年4月頃予定の次回リリースでは、Red Hat Enterprise Linux の検知につかう脆弱性情報を、OVAL フォーマットのデータから VEX フォーマットのデータへ切り替える予定です。これは Red Hat 社による OVAL フォーマットでの脆弱性情報提供が終了するためです。 VEX フォーマットのデータ: https://security.access.redhat.com/data/csaf/v2/vex/ OVAL から VEX への変更について: https://www.redhat.com/en/blog/future-red-hat-security-data これに伴うデータ内容の大きな差異として、未修正の脆弱性に対して影響を受けるパッケージの記述があります。 OVAL フォーマットではバイナリパッケージ名で書かれていたのに対して、VEX フォーマットではソースパッケージ名で提供されます。 他方、修正済み脆弱性の影響を受けるパッケージは両フォーマットともバイナリパッケージ名で変わりません。 FutureVuls では Red Hat Enterprise Linux のパッケージスキャンにおいて、スキャナバージョン v0.27.0 まではバイナリパッケージ情報だけを収集していました。 これを、2024-12-16 リリースの v0.28.0 ではソースパッケージ情報も合わせて収集するようにする変更が入っています。 また、あわせてペーストスキャンの新しいコマンドもご案内しております。 リリースノート該当項目 最新バージョンのスキャナや、新しいコマンドによるペーストスキャンをご利用の場合、次回リリースでも未修正の脆弱性を含めて VEX フォーマットのデータに則って、正しく検知されます。古いスキャナやコマンドを使っている場合は更新をお願いします。 Amazon Inspector連携でEC2を一括登録できるように
Amazon Inspector による EC2 の脆弱性スキャン結果を、より便利に FutureVuls へ連携できるようになりました。 アップデート概要
グループに紐付く AWS 認証情報を用いて、EC2 インスタンスを FutureVuls コンソール上に一覧表示し、その中から複数選択してサーバ登録ができるようになりました。 これにより、これまでのように AWS コンソールでインスタンス ID を確認・コピーする手間が不要となり、FutureVuls コンソール内の操作のみで一括登録が完結します。 また、フィルタやソート、一括選択にも対応しています。 特定のタグを付与した EC2インスタンスのみ抽出し、一括選択して登録するなど、より効率的にご利用いただけます。 EC2 の Inspector 連携マニュアルは こちら をご参照ください。 注意点
今回の機能アップデートに伴い、Inspector 連携機能を利用する際は、AWS IAM ポリシーに以下のアクションを追加する必要があります。 ListFindingAggregations CloudFormation テンプレートも更新済みですので、必要に応じてご利用ください。 参考: AWS連携の設定手順 認証付きプロキシ環境でもWindowsスキャナがインストール可能に
Windows スキャナのインストールが、認証付きプロキシ環境でも行えるようになりました。 インストール時にプロキシの URL と認証情報を入力することで、認証付きプロキシ経由でのスキャナインストールが可能になります。 入力した認証情報はインストール時に batch_config.toml へ追記されるため、スキャン実行時に特別な操作は必要ありません。 これにより、Windows スキャナのインストール→Windows スキャン実行→結果を FutureVuls へアップロード、という一連のフローを認証付きプロキシ環境下でも実施できるようになりました。 Windowsスキャナのインストール時に管理者権限をチェック
Windows スキャナのインストール時に使用する vuls-installer-v2.bat を管理者権限で実行していない場合、処理を停止するように修正しました。 SBOMで異なるバージョンのライブラリも併せて管理可能に
複数の SBOM を FutureVuls にインポートする際、同一ソフトウェア名でバージョンが異なるライブラリを複数同時に管理できるようになりました。 ソフトウェアが新規検知された際に、タスクコメントを自動追加
対象となるソフトウェア種別は以下の通りです。 ソフトウェア種別 説明 具体例 pkg Linuxスキャン で追加されるソフトウェア (例 openssl) windowsPkg Windowsスキャン で追加されるソフトウェア (例 Microsoft Edge) cpe CPEスキャン で追加されるソフトウェア (例 cpe:/o:fortinet:fortios:5.4.6) githubPkg GitHubリポジトリスキャン で追加されるソフトウェア (例 Django) libraryPkg 依存ライブラリスキャン などで追加されるソフトウェア (例 github.com/google/uuid) awsLambdaPkg AWS Lambda脆弱性スキャン で追加されるソフトウェア (例 github.com/moov-io/signedxml) wordpressPkg Wordpressスキャン で追加されるソフトウェア (例 twenty twenty) これまでは、ソフトウェアが脆弱性の対象外となった場合にのみタスクコメントが自動的に追加されていました。 そのため、新たに検知対象になったソフトウェアについてはタスクコメントに表示されず、いつ検知され、いつ解消されたのかを時系列で把握しづらいという課題がありました。 今回のアップデートにより、以下の場合にもタスクコメントが追加されるように変更し、ソフトウェアの状況をより把握しやすくしました。 新規に検知された脆弱性の対象ソフトウェア 既存の脆弱性情報が更新され、新たにソフトウェアが検知対象となった場合 オーガニゼーション設定のメンバ一覧で各ユーザのグループセット所属状況を確認可能に
本機能は CSIRT プランのみ対象です。 オーガニゼーション設定 > メンバ において、それぞれのユーザがどのグループセットに所属しているかを確認できるようになりました。 フィルタ条件の保持機能を追加
脆弱性・サーバ・タスクなど各種一覧のフィルタ条件を、画面遷移やログアウト後にも保持できるようになりました。 これまでは列の並びやソート状態のみ保持し、フィルタ条件は画面遷移時にリセットされる仕様でしたが、フィルタ条件を保持したいという要望に応え、一覧上部に配置した フィルタ保存 ボタンで「保持する/保持しない」の切り替えが可能になりました。 優先度表記の変更をエクスポート機能にも反映
オーガニゼーション設定で優先度の表示名を上書きした際、脆弱性・タスク一覧の「エクスポート」から出力される CSV ファイルにも、その表示名が反映されるようになりました。 FutureVuls APIのタスク一覧取得にEPSSスコア項目を追加
これまで EPSS スコアは脆弱性詳細 API などでのみ確認可能でしたが、今回のアップデートにより、 getTaskList と getGroupSetTaskList のレスポンスで epssScore / epssPercentile を取得できるようになりました。 ソフトウェアに補足情報を登録可能に
FutureVuls に登録されている「サーバ > ソフトウェア」それぞれに対して、補足情報を登録できるようになりました。 また、FutureVuls API からも補足情報を登録できます。詳細は FutureVuls API をご参照ください。 Microsoft Teams のマニュアルを最新化
Webhook の更新に関する追記
期限: 2025年1月末をもって、更新されていない webhook URL は無効となります。詳細は Microsoft からのお知らせ をご覧ください。 対応: 2025年2月以降も通知を受け取り続けるため、 新しい webhook URL への更新方法 を Teamsのマニュアルページ に追記しました。必要に応じて手順をご参照のうえ、更新をお願いいたします。 最新の UI に対応
背景: Teams の UI が更新されたことで、マニュアルの画面表示と実際の UI に差異が生じていました。 対応: 2025年2月時点の最新 UI にあわせて、マニュアルの設定手順を更新しました。 今後のリリース予定(Microsoft Teams関連)
コネクタサービスの廃止: 2025年末をもってコネクタサービス (webhook URL) が廃止される予定です。今後は Microsoft Teams への通知を workflow に移行することが推奨されています。( Microsoft からのお知らせ 参照) 移行時期: 現在、Microsoft 側の workflow 仕様に起因する問題から、すぐに移行できない状況です。Microsoft による修正後、FutureVuls 側でも対応を予定しています。 次回以降のリリース: コネクタ webhook URL から workflow への移行に関する詳細は、今後のリリースでマニュアルやサービス仕様とあわせてご案内する予定です。 お問い合わせ時に役立つ「トレースID」が表示されるように
スキャン履歴画面や、エラー発生時のダイアログ上に「トレース ID」が表示されるようになりました。 ユーザサポートへ不具合等をお問い合わせいただく際に「トレース ID」をご入力いただくと、よりスムーズなサポートをご提供しやすくなりますので、ぜひご活用ください。 その他のお問い合わせ時のコツについては「 こちら 」をご参照ください。 その他変更
SAML IdP 登録時のメタデータファイルサイズ上限を緩和
SAML IdP 登録時にアップロードできるメタデータファイルの上限サイズを、10KB から 100KB に緩和しました。 ロール名の長さの上限を緩和
ロール名の上限文字数を、従来の25文字から100文字に拡大しました。 パスワードポリシーの強化
アカウントセキュリティをさらに高めるため、パスワードポリシーを更新しました。 項目 Before After パスワードの最小文字数 8文字 10文字 パスワードの再利用 制限なし 過去5回分のパスワードは再利用不可 SSMアップデートコマンドの変更
AWS 連携による「 SSMアップデート 」コマンドの一部を更新しました。 SSMドキュメント Before After FutureVulsDryRunDnfPackage dnf install {{name}} --assumeno || true dnf update {{name}} --assumeno || true SSMドキュメントの更新方法
以下手順により、SSM アップデートコマンドの最新化をお願いします。 以下の IAM ポリシーを任意の EC2サーバアタッチする { "Version" : "2012-10-17" , "Statement" : [ { "Sid" : "AllowCreateDeleteSSMDocument" , "Effect" : "Allow" , "Action" : [ "ssm:CreateDocument" , "ssm:DeleteDocument" ], "Resource" : "" } ] } ポリシーをアタッチした EC2サーバ内で下記コマンドを実行する curl -s https://s3-ap-northeast-1.amazonaws.com/vuls-public-file/FutureVulsSSMPkgSetting.sh | VULS_AWS_REGION = ap-northeast-1 bash AWS アカウントにログイン後、 AWS Systems Manager > ドキュメント > 自己所有 に移動し、 FutureVulsDryRunDnfPackage で検索する FutureVulsDryRunDnfPackage の コンテンツ に、以下の定義が表示されることを確認する schemaVersion : '2.2' description : 'FutureVuls: Dry-Run Update the latest version or specified version of a package.' parameters : name : description : '(Required) The package to dry-run update.' type : 'String' allowedPattern : '^[a-zA-Z0-9].' mainSteps : - action : 'aws:runShellScript' name : 'FutureVulsDryRunDnfPackage' inputs : runCommand : - 'dnf update {{name}} --assumeno || true' 以上が今回のアップデート内容となります。詳細については各リンク先のマニュアルをご確認のうえ、ご活用ください。
security2024-12-16
2024-12-16 リリース内容
サーバに導入済みのスキャナは定期的に更新してください。 スキャナのバグ修正は 最新版にのみ適用 されます。 古いスキャナでは最新機能を利用できない場合があります。 スキャナの更新方法は こちら です。自動更新オプションを活用してください。 2024年12月16日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) OS スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.28.0 Version: 2024/02 Windows用 vuls v0.25.2 [NEW] Version: 2024/12 Trivy [NEW] 0.57.1 2024/04 RedHat系の脆弱性検知方法の変更とスキャナ変更
検知の変更点1: 主なもの
AlmaLinux OS および Rocky Linux の検知に使う脆弱性情報を、それぞれの開発元が提供する情報に切り替えました。 これまでは Red Hat 社が提供する Red Hat Enterprise Linux 向けの脆弱性情報を流用する形で検知していたため、本リリースにより大きな差分が発生することがありえます。開発元の情報に切り替えたため、本リリース後の検知結果がより正確なものになります。 AlmaLinux OS errata ページ https://errata.almalinux.org/ ドキュメント https://wiki.almalinux.org/documentation/errata.html Rocky Linux errata ページ https://errata.rockylinux.org/ ドキュメント https://wiki.rockylinux.org/rocky/errata/ 検知の変更点2: バグ修正
Oracle Linux の検知において、FIPS 関連パッケージの脆弱性が誤って検知されるバグを修正しました。 具体的には、バージョン文字列に "fips" を含まないパッケージは FIPS 関連パッケージの脆弱性は検知しないようになります。 また、バージョン文字列に "_fips" を含むパッケージは FIPS 関連パッケージの脆弱性のみを検知するようになります。 Red Hat Enterprise Linux の検知において、バージョン比較におけるバグを修正しました。 具体的な例としては、"2.28-251.el8_10.5" 、"el8" とそれに続く数字が無視された状態の "2.28-251.el8.5" として比較されてしまっていた問題です。本リリースでは元のバージョン文字列を使うよう修正されました。 OVAL データの曖昧性に起因する検知差異 Red Hat Enterprise Linux の検知において、Red Hat 社が提供する OVAL フォーマットの脆弱性情報に、パッケージ修正ステータスが複数含まれる場合があります。 例えば修正ステータスとして "Affected" (影響あり) と "Will not fix" (修正を行わない) の2つが含まれる場合、本リリースの前後で、Future Vuls において脆弱性と検知されなくなる問題が分かっています。 これは OVAL フォーマットの情報が曖昧であることが原因である、Red Hat 社が提供する別のフォーマットである CSAF を利用することで解決できる可能性があり、より良い検知結果を得るために鋭意対応中です。 スキャナの変更点
前述のとおり、Red Hat Enterprise Linux では CSAF フォーマットの脆弱性情報を利用する変更を計画中であり、近日中にリリース予定です。 この情報を使った脆弱性検知では、バイナリパッケージに加えて、ソースパッケージの名称とバージョン情報が必要になります。そのため、スキャナにソースパッケージの名称を取得する機能を追加しました。 対象となる OS は、Red Hat Enterprise Linux, Amazon Linux, Oracle Linux, Rocky Linux, AlmaLinux OS, Fedora Linux, open SUSE, SUSE Leap, SUSE Enterprise です。 これに伴い、ペーストスキャンのコマンドも変更になります。 対象となる OS は、Red Hat Enterprise Linux, Amazon Linux, Rocky Linux, AlmaLinux OS, Fedora Linux, open SUSE, SUSE Leap, SUSE Enterprise です。 対象となるサーバについては、画面の指示に従い、できるだけ早く構成情報を更新いただくことを推奨します。 新機能:Amazon Inspector SBOMのインポート
Amazon Inspectorにより出力されたSBOM のインポートに対応しました。 既存の Amazon Inspector連携 では、脆弱性のないソフトウェアは FutureVuls には登録されませんでしたが、Amazon Inspector からエクスポートした SBOM を FutureVuls にインポートすることにより、脆弱性のないソフトウェアも資産管理することが可能になります。 SBOM インポート機能の詳細は以下のマニュアルを参照してください。 サーバのSBOMインポート アプリケーションのSBOMインポート スキャン方法の選択肢と特徴 SSVC最新更新日時をAPIでとれるように
FutureVuls API から取得できるタスクの項目に、 ssvcUpdatedAt(SSVC最新更新日時) を追加し、日付でのフィルタできるようになりました。 (RFC3339形式で UTC 時刻を指定する仕様となっております。) 対象 API v1/groupSet/tasks 利用例
フィルタなしの場合
curl
-s
-H
'accept: application/json'
-H
Authorization:
curl
-s
-H
'accept: application/json'
-H
Authorization:
Trivy スキャンを実行する際に発生する Trivy イメージを pull する操作が、rate limit 問題によって失敗するケースが散見されていました。 FutureVuls ではスキャン時に利用する Trivy のバージョンを 0.57.1 に引き上げることで問題を緩和しています。 ( Trivy の公式アナウンスは こちら ) グループ単位で登録可能なサーバ数の上限を設定できるように
グループごとに登録可能なサーバ数の上限を設定できるようになりました。 この機能を利用することで、グループ内に想定数以上のサーバが追加されることを防ぐことができ、意図しないライセンス数の消費を防止できるようになります。 画面操作について紹介
サーバ数上限は オーナ権限のユーザのみ が設定・変更可能です。 「オーガニゼーション設定」>「グループ」から各グループのサーバ数上限を変更いただけます。 また、「サーバタブ」>「サーバ追加」をご確認いただくことで、グループ管理者やグループメンバが設定値を参照できます。 画面操作のマニュアルについて こちら にも記載しています。 最新情報についてはマニュアルをご参照ください。 FutureVuls API について紹介
グループごとのサーバ上限数を便利に更新可能な FutureVuls API ( [PUT] /v1/org/group/{groupID} )も同時に公開いたしました。 詳しくは オーガニゼーションAPI一覧 をご確認ください。 対象 API の Swagger ドキュメントについては こちら をご確認ください。 グループセットのタスク一覧に外部スキャンのフィルタを追加
グループセットのタスク一覧で外部スキャンのフィルタを追加しました。 外部スキャンで登録された対象のタスクをフィルタして抽出できます。 Windowsペーストサーバ構成更新時のカーネルバージョン未変更警告を追加
Windows Update 後に構成情報を更新する際、カーネルバージョンが変更されていない場合に警告を表示するようにしました。これにより、適用済み KB の判別ミスを防ぎます。
security2024-10-21
2024-10-21 リリース内容
サーバに導入済みのスキャナは定期的に更新してください。 スキャナのバグ修正は 最新版にのみ適用 されます。 古いスキャナでは最新機能を利用できない場合があります。 スキャナの更新方法は こちら です。自動更新オプションを活用してください。 2024年10月21日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) OS スキャナバージョン スキャン実行スクリプト Linux用 vuls v0.26.0-rc2 build-cb26be1 Version: 2024/02 Windows用 vuls v0.25.2 build-e25ec99 Version: 2023/09 Trivy [NEW] 0.55.2 2024/04 FutureVulsロゴの変更
FutureVuls のロゴが新しくなり、クールな印象になりました。 ネットワークスキャンツールやWeb脆弱性診断結果をインポート可能に
Nessus、OpenVAS、Nmap などのネットワークスキャンツールや、ASM(Attack Surface Management)サービス、Web 脆弱性診断レポートを簡単に FutureVuls にインポートして管理できるようになりました。 ユーザメリット
外部に露出した脆弱性を即座に把握
FutureVuls で検知した脆弱性の中から、外部に露出しているものを画面上で素早く特定できます。 外部に露出している脆弱性が、どのサーバやアプリケーションに影響があるのかを、画面上からドリルダウンで確認でき、迅速に対応できるようになります。 チケットでの一元管理
インポートしたスキャン結果を FutureVuls のチケット機能で一元管理できます。 担当者、期限、優先度を設定し、進捗状況や対応履歴をチーム全体で共有できます。 また、外部露出した脆弱性が放置されるのを防ぎます。 自動リスク評価で優先順位の明確化
FutureVuls の SSVC (Stakeholder-Specific Vulnerability Categorization) 機能により、インポートしたスキャン結果を自動でリスク評価し、優先順位付けできます。 詳細な情報の表示
FutureVuls が保持する脆弱性情報や最新の脅威情報を表示し、より精度の高い対応をサポートします。 詳しくは「 マニュアル 」もご参照ください。 組織内の脆弱性がランサムウェアで使われているかをチェックする機能を追加
昨今、企業がランサムウェアの被害を受けるケースが増加しています。ランサムウェア攻撃では VPN の脆弱性や、リモートデスクトップでのリモートコード実行(RCE)を悪用するものが多くあります( 参考:警察庁サイバー犯罪の現状 )。 FutureVuls は、ランサムウェアキャンペーンで悪用されている脆弱性を特定するためにこの機能を追加しました。 該当する脆弱性は「警戒情報」列でハッカー風のアイコンが表示され、優先対応が必要です。 また、「警戒情報」列のフィルタで該当の脆弱性のみを抽出できます。 脆弱性一覧の「警戒情報」列で表示されるハッカー風のアイコン 以下のデータソースで公開されている、ランサムウェアキャンペーン情報を利用しています。 CISA KEVカタログ VulnCheck KEV 詳しくは「 マニュアル 」もご参照ください。 SSVC の判断に利用するデータソースを追加し、決定木の精度を向上
FutureVuls では、様々なデータソースを利用して SSVC の判断を自動化していますが、今回のリリースで SSVC の精度を向上させるために以下の新たなデータソースを追加しました。 Vulnrichment : https://github.com/cisagov/vulnrichment VulnCheck KEV : https://vulncheck.com/kev Microsoft Security Response Center(MSRC) : https://msrc.microsoft.com/ Vulnrichment の利用
CISA(アメリカ合衆国サイバーセキュリティ・インフラストラクチャ庁)の Vulnrichment プロジェクトは、公開されている CVE 情報を CISA が拡充させた公開リポジトリです。CISA が十分な裏付け情報があると判断した場合に、脆弱性情報が拡充されます。 Vulnrichment には、各 CVE について SSVC Decision Point の Exploitation と Automatable の値が掲載されています。今回のリリースでこの値を SSVC のデータソースとして用いるようになり精度が向上しました。 VulnCheck KEV の利用
新たに VulnCheck KEV を SSVC Decision Point の Exploitation のデータソースとして利用することにしました。VulnCheck KEV は CISA KEV に比べて、掲載速度が20日程早い、カバー範囲が広いなどの特徴があります( 参考 )。 MSRC の Exploitability の利用
MSRC では Microsoft の調査による脆弱性の Exploit 情報を Exploitability として公開しています。この Exploitability の値を SSVC Decision Point の Exploitation の判断に新たに利用するようにしました。 Exploitability 説明 SSVC Exploitation の判断 Detected Microsoft が Exploit 事例を確認している脆弱性 Active More Likely 悪用コードが作成される可能性がある脆弱性、または類似の脆弱性が過去に悪用された事例がある PoC SSVC (Deployer Tree) のバージョンを2.1にアップデート
FutureVuls の SSVC の Deployer Tree が最新版であるバージョン2.1にアップデートされました。このアップデートにより、SSVC の設定がさらに簡単になりました。 変更内容 説明 Utility から Automatable へ変更 2.0では「Utility」は「Value Density」と「Automatable」から決まる指標でしたが、バージョン2.1では「Value Density」は対象から省かれました。 決定木のシンプル化 「Utility」から「Automatable」への変更により、決定木がシンプルになり、分岐数が108から72に減少しました。 機能変更点: グループ設定 / ロール設定における SSVC 設定の Decision Point の設定項目から Density が削除され、手動で設定する必要がある項目が3つから2つに減り、設定が簡単になりました。手動設定が必要な項目は Exposure と Human Impact のみです。 GCP Artifact Registry をサポート
Artifact Registry は、GCP でのコンテナイメージの保存と管理に推奨されるサービスです。 Container Registry(GCR)は非推奨となったため、現在は Artifact Registry への移行が推奨されています。(詳細は こちら ) FutureVuls でも GCR のサポートを終了し、新たに Artifact Registry のサポートを開始いたしました。 また、FutureVuls コンソールにコンテナイメージの一覧を表示し、一括登録できる機能を搭載いたしました。より便利になった Artifact Registry 連携機能を是非ご利用ください。 なお、新機能をご利用するには GCP認証情報の登録 が必要です。 認証情報の登録後のコンテナイメージ登録方法について こちら で紹介しています。 SBOMファイルを更新する機能を追加
インポートされた SBOM ファイルをサーバ詳細画面から管理できる機能を追加しました。これにより SBOM ファイルのダウンロードやファイル名の変更、ファイルの更新、ファイルの削除が可能です。SBOM インポート機能の詳細は以下のマニュアルを参照してください。 サーバのSBOMインポート アプリケーションのSBOMインポート 機能改善
オーガニゼーション内のユーザ名を管理者が変更できる機能を追加
CSIRT プランのみ対象の機能です。 オーガニゼーション内で表示されるユーザ名を、組織のルールに沿った命名規則へ管理者が変更できる機能を追加しました。 また、複数オーガニゼーションに所属するユーザは、それぞれのオーガニゼーションごとに表示名を変えられます。 ユーザ本人は ユーザ設定 > 所属情報 より表示名を変更できます。 FutureVulsAPIからグループメンバの一覧取得ができるように
グループに所属しているメンバ情報を取得できる新 API を追加しました。レスポンスには各ユーザの表示名、グループ内でのロール、メールアドレスなどが含まれます。グループ内メンバの一覧取得にご活用ください。 APIドキュメント で詳細な Response を確認できます。 FutureVulsAPIから監査ログの一覧取得ができるように
組織全体の監査ログ情報を一ヶ月単位で取得できる新 API を追加しました。外部のツールにインポートして分析する用途でご利用ください。定期的なログ監査や管理作業を効率化するためにご活用いただけます。 APIドキュメント で詳細な Response を確認できます。 タスク更新時のメールを通知用メールアドレスに転送可能に
通知用メールアドレスに対して、新たに「タスク更新時のメール」を転送できるようにしました。 タスクコメントの追加や、タスクステータスの更新時などの通知を、FutureVuls に登録していないメールアドレスに対して転送可能になります。 また、通知用メールアドレスに転送する通知を選択可能になりました。 共有が必要な機能のみを選択する形でご利用ください。 通知用メールアドレスのマニュアルは こちら 仕様変更
グループ間のサーバ移動をすべてのサーバで行えるように
これまでペーストスキャンや SBOM インポートでつくられたサーバはグループ間でサーバ移動が行えませんでした。今回のアップデートにてこれらのサーバ種別を含むすべてのサーバのサーバ移動が行えるようになりました。 サーバ移動をグループ管理者権限をもつユーザが行えるように
これまでサーバ移動はオーナ権限や CSIRT 権限をもつユーザのみが行える機能でしたが、今回のアップデートにてグループ管理者権限をもつユーザもサーバ移動を行えるように権限を変更しました。 この変更に伴い、サーバ詳細に サーバ情報を他グループに移動 ボタンを追加し、オーガニゼーション設定内の サーバ情報を他グループへコピー ボタンを削除しました。 「検出方法の信頼度が低い脆弱性」の変更
重要フィルタ/自動脆弱性優先度/自動タスク優先度で設定可能な項目である「検出方法の信頼度が低い脆弱性」のフィルタを以下のように変更しました。 「検出方法の信頼度が低い脆弱性」の設定項目を選択式からボタン式に変更 検出方法の信頼度が低い脆弱性とは、「特に CPE のバージョン情報が不明な場合に、バージョン情報なしで検知した脆弱性」のことです 新しく「Windows Rough Match」の設定項目を追加 Windows、特に Edge で検出された脆弱性のうち、修正された KB や修正ビルドが不明なものをフィルタ評価の対象外にする 脆弱性一覧の「攻撃コード」列を「Exploit信頼度」列に変更
脆弱性一覧に表示していた攻撃コードの有無を表す「攻撃コード」列を、KEV 情報なども考慮した「Exploit 信頼度」列に変更しました。 具体的な変更は以下の通りです。 値 変更前 変更後 High 信頼度Highの攻撃コード(metasploit)の情報がある SSVC Exploitation が Active、または信頼度Highの攻撃コード(metasploit)の情報がある Low 信頼度Lowの攻撃コード(GitHubやExploit-DB)の情報がある SSVC Exploitation が PoC(これは変更前の条件を含みます)
security2024-09-13
2024-09-13 リリース内容
本リリースによるスキャナバージョンの変更はありません。 今回のリリースでは、以下を修正しました。 一部の脆弱性に限り脆弱性優先度に正しくない値が入る不具合の修正
8/28 から 9/13 にかけて、一部の脆弱性に限り、正しくない脆弱性優先度が表示される不具合が発生しておりました。 9/13 18:00 頃に不具合を修正しましたので、影響のあった脆弱性も含めて現在は正しい値が表示されております。 本不具合に関して、ご不明点やご質問がございましたら、 サポート窓口 にお問い合わせください。
security2024-06-24
2024-06-24 リリース内容
サーバに導入済みのスキャナは定期的に更新してください。 スキャナのバグ修正は 最新版にのみ適用 されます。 古いスキャナでは最新機能を利用できない場合があります。 スキャナの更新方法は こちら です。自動更新オプションを活用してください。 2024年6月24日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) OS スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.26.0-rc2 build-cb26be1 Version: 2024/02 Windows用 vuls v0.25.2 build-e25ec99 Version: 2023/09 Trivy 0.49.1 2024/04 新機能:マリシャスパッケージ管理
悪意のあるコードを含むパッケージを自動検知・検索する新機能を追加しました。これにより、意図せず依存ライブラリに組み込まれて利用されているマリシャスパッケージを検知可能になりました。 マリシャスパッケージ情報の表示
ソフトウェア一覧や詳細画面で、マリシャスパッケージ情報を確認できます。 詳しくは「 ヘルプ > ソフトウェア 」をご参照ください。 マリシャスパッケージの横断検索
グループセット機能は CSIRT プランのみ対象です。 グループセット内でマリシャスパッケージに汚染されたソフトウェアをグループ横断検索できます。例えば、「すべてのグループを所属させた ALL グループセット」を作成し、全社横断でマリシャスパッケージの混在をチェックできます。 新機能:ライブラリEOL管理の強化
グループセット機能は CSIRT プランのみ対象です。 グループセット内で EOL が判明しているソフトウェアをグループ横断検索できるようになりました。例えば、「すべてのグループを所属させた ALL グループセット」を作成し、全社横断で EOL 情報をチェックするといった用途で使えます。 新機能:SBOMインポート機能の強化
SPDX 仕様の SBOM ファイルをインポートできるようになりました。 CycloneDX Generator (cdxgen) の SBOM をインポートできるようになりました。 SBOM インポート機能の詳細は以下のマニュアルを参照してください。 サーバのSBOMインポート アプリケーションのSBOMインポート スキャン方法の選択肢と特徴 」 新機能:タスクコメントへのファイル添付
本機能は CSIRT プランのみ対象です。 投稿したコメントにファイルを添付できる機能を追加しました。クリップアイコンをクリックするとファイル添付のダイアログが開きます。 添付できるファイルの制限は以下の通りです: ファイルサイズ上限: 100MB アップロード可能なファイル形式: 画像ファイル( .jpg , .jpeg , .png , .gif , .bmp , .tiff ) 動画ファイル( .mp4 , .avi , .mov , .wmv , .mkv ) テキストファイル( .txt , .csv , .log ) 文書ファイル( .pdf , .doc , .docx , .xls , .xlsx , .ppt , .pptx ) 圧縮ファイル( .zip , .rar , .7z , .tar.gz ) 機能改善
対応OSの追加
2024年4月26日にリリースされた Ubuntu 24.04 Noble Numbat に対応しました。対応 OS の一覧は「 対応環境 」をご参照ください。 Lockfileの種別追加
サーバに登録できるアプリケーションライブラリの種別を追加しました。以下の Lockfile に対応しています: 言語 パッケージ管理 Lockfile dart pub pubspec.lock elixir mix mix.lock swift cocoapods Podfile.lock swift swift Package.resolved Go - go.mod(go.sumは非推奨) 「サーバ」>「アプリケーションライブラリ」の「LOCKFILE 追加」から追加できます。 タスクステータス更新日時の表示
タスクのステータスが更新された日時をグループ・グループセットのタスク一覧の ステータス更新日時 から確認できるようになりました。 ステータス更新日時 をフィルタ・ソートして、指定した期間にステータスが変化したタスクを確認できます。 コメント投稿日時の表示
グループとグループセットのタスク一覧の コメント更新日時 列から最新のコメントが投稿された日時を確認できるようになりました。 コメント更新日時 をフィルタ・ソートすることで、最新コメントが投稿されたタスクを確認できます。 AWS LambdaとECRの一括登録
グループの AWS 認証情報に紐付く AWS Lambda と ECR を FutureVuls コンソールに表示し、その中から複数選択して登録できるようになりました。 これまでのように AWS コンソールで URI や ARN を1つ1つコピーする必要がなく、FutureVuls コンソール内で一度の操作で登録処理を完結できます。 この新機能を利用するには、AWS ポリシーに以下の2つのアクションを追加する必要があります: DescribeRepositories (ECR の一括登録) ListFunctions (Lambda の一括登録) 詳細は「 AWS認証設定 」をご確認ください。 ユーザの最新アクセス日時の取得
オーガニゼーション単位で、ユーザが FutureVuls 上で最後に操作した時刻情報を、 FutureVuls API で取得できるようになりました。 メンバ一覧取得のAPI で、 lastAccessedAt というフィールドから取得可能です。 長期間利用されていないユーザの監査にご活用ください。 FutureVuls APIからロールとグループのSSVC設定が取得できるように
FutureVuls API で、ロールとグループの SSVC 設定を取得できるようになりました。 SSVC 設定を取得できる API は以下の2つとなります。 ロール詳細取得のAPI serverRoleSSVCDecisionPoint というフィールドから取得可能です。 グループ一覧取得のAPI groupSSVCDecisionPoint というフィールドから取得可能です。 スクリプト等を用いて複数のロール、グループの SSVC 設定をまとめて取得できます。 効率的な SSVC 設定の管理にご活用ください。 グループ・グループセットへユーザを追加するAPIを追加
FutureVuls API を利用して、オーガニゼーションに所属しているユーザをグループ・グループセットに追加する機能を実装しました。 スクリプト等を用いて複数のユーザのグループ・グループセットへの追加を自動化できます。効率的なユーザの管理にご活用ください。 詳しくはこちらの ドキュメント も参考にしてください。 グループの「重要な未対応」の条件設定で脆弱性優先度を選択可能に
今までグループの「重要な未対応」の条件には脆弱性優先度 HIGH のものが自動的に条件に設定されていましたが、今回のリリースで脆弱性優先度を HIGH MEDIUM 未設定 の3種類から選択可能になりました。(デフォルトでは HIGH が設定されています。) 各値を設定した時の「重要な未対応」の判断は以下のとおりです: HIGH : 脆弱性優先度 HIGH のものは重要な未対応の対象となる MEDIUM : 脆弱性優先度 HIGH と MEDIUM のものは重要な未対応の対象となる 未設定 : 脆弱性優先度を対象としない 仕様変更
通知用メールアドレス の通知対象に、Daily Report / Weekly Report を追加しました。 Immediateなタスク通知 の通知対象設定が「 グループ全員 」の場合、通知対象を変更しました。 変更前:グループに所属するユーザ / そのグループを含むグループセットに所属するユーザ / オーナー / CSIRT 変更後:グループに明示的に所属するユーザのみ タスクコピー 時に、過去のタスクコメントもコピーするようにしました。また、コピーの際タスクコピーに伴う変更内容をコメントとして記録します。
feature2024-06-06
2024-06-06 リリース内容
本リリースによるスキャナバージョンの変更はありません。 今回のリリースでは、以下の機能を追加しました。 FutureVuls API からタスクを取得する際に newedAt(初回検知日時)でフィルタできるように
FutureVuls API から取得するタスクのリストを、 newedAt(初回検知日時) の日付でフィルタできるようになりました。 対象の API は以下の2つです。 /v1/tasks /v1/groupSet/tasks 利用例
フィルタなしの場合
curl
-s
-H
'accept: application/json'
-H
Authorization:
curl
-s
-H
'accept: application/json'
-H
Authorization:
security2024-05-13
2024-05-13 リリース内容
本リリースによるスキャナバージョンの変更はありません。 今回のリリースでは、以下の変更が入りました。 Red Hat 系 OS で誤検知が起きる不具合を修正
パッチ提供がない脆弱性について、 FutureVuls では Red Hat の Security Tracker を参照して検知していました。 FutureVuls がスキャンで取得するパッケージ名はバイナリパッケージである一方、 この Security Tracker に記述されるパッケージ名称はソースパッケージ名となっています。 このため、ソースパッケージとバイナリパッケージで名前が異なるパッケージにおいて誤検知が発生していました。 この不具合を修正するため、このリリースからは Red Hat 系 OS で OVAL データを用いて、 バイナリパッケージ名で検知するよう変更しました。 対象となる OS は次のとおりです。 Red Hat Enterprise Linux CentOS Rocky Linux AlmaLinux OS 誤検知が起きていたパターンは2種類です。 ひとつ目は、インストールされたバイナリパッケージ名と対応するソースパッケージ名が異なる場合です。 ソースパッケージ名で SecurityTracker が出るため、バイナリパッケージでは本来検知されるべき脆弱性が 検知されないパターンの誤検知となります。 ふたつ目はバイナリパッケージと同じ名前のソースパッケージが存在する場合です。 この場合は、ソースパッケージ名で SecurityTracker を参照するため、バイナリパッケージには関係のない 脆弱性が誤って検知されるパターンの誤検知がありえます。 これに伴い、モジュールに所属するパッケージに対して、パッチ提供がない脆弱性を検知出来なかった不具合も修正されています。
feature2024-05-02
2024-05-02 リリース内容
本リリースによるスキャナバージョンの変更はありません。 今回のリリースでは、以下の変更が入りました。 FutureVuls APIからタスクを取得する際にSSVC Priorityでフィルタできるように
FutureVuls API から取得するタスクのリストを、SSVC Priority の値でフィルタできるようになりました。 対象の API は以下の通りです。 /v1/tasks /v1/groupSet/tasks SSVC Priority が immediate や out_of_cycle に設定されている優先度の高いタスクのみを取得できます。 詳細はこちらの APIドキュメント を参照してください。
security2024-04-15
2024-04-15 リリース内容
本リリースによるスキャナバージョンの変更はありません。 新機能: 優先度の自動付与機能を公開
CSIRT プランに脆弱性やタスクの優先度を、事前に定義したルールベースで自動付与する機能を公開しました。 本機能を用いると、組織ポリシーに沿った優先度ルールを元に、検知した脆弱性とタスクの優先度を自動で設定できます。 例えば、「CVSS が9以上」かつ「CERT から注意喚起が公開されている」タスクの優先度を「HIGH」に自動で設定できます。 機能の詳しい設定方法は下記リンクを参照ください。 自動脆弱性優先度 タスク優先度ルールセット 新機能: 検知対象の拡張
Linux スキャンのサポート対象を拡大し、RHEL ELS や Extra リポジトリなどからインストールされたパッケージの脆弱性を検知できるようになりました。 ディストリビューション サポートバージョン 追加した検知対象のリポジトリ Red Hat Enterprise Linux 6 Extras, Supplementary, Extended Life Cycle Support Red Hat Enterprise Linux 7 Extras, Supplementary
security2024-04-01
2024-04-01 リリース内容
サーバに導入済みのスキャナは定期的に更新してください。 スキャナのバグ修正は 最新版にのみ適用 されます。 古いスキャナでは最新機能が利用できない場合があります。 スキャナの更新方法は こちら です。自動更新オプションを活用ください 2024年4月1日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) OS スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.25.2 build-e25ec99 Version: 2024/02 Windows用 [NEW] vuls v0.25.2 build-e25ec99 Version: 2023/09 Trivy [NEW] 0.49.1 2024/04 新機能: OSSライブラリのEOL管理
OSS ライブラリの End Of Life (EOL) 情報を一元管理する新機能を導入しました。これにより、セキュリティ部門や運用者は、EOL に達したライブラリを素早く特定し、アップデート計画を前もって立てることが可能になります。 詳細は、「 ヘルプ > ソフトウェア 」を参照してください。 現在EOL検知に対応しているスキャン方法は、以下の4つのみとなります。 VulsスキャナによるLockfileを指定したスキャン Trivyでファイルシステム上のパスを指定したスキャン Lockfileのペーストスキャン コンテナイメージ内にインストールされた依存ライブラリをTrivyでスキャン 新機能: AWS Lambdaの脆弱性を管理できるように
AWS Lambda の脆弱性を FutureVuls で管理する機能を新たに提供します。Amazon Inspector との連携により、AWS Lambda の脆弱性情報を FutureVuls 上で一元的に管理し、SSVC を活用した自動優先度判断とタスク管理が可能です。 ヘルプ > AWS Lambda脆弱性スキャンの設定方法 FutureVulsとAWS連携のメリット詳細 新機能: FutureVuls APIにオーガニゼーション管理用を追加
組織全体のグループやメンバ情報を簡単に取得できる新 API を追加しました。定期的な監査や管理作業を効率化するためにご利用いただけます。 グループ一覧取得
オーガニゼーションの全グループとそのメンバ情報を確認できます。 組織全体のグループ / グループセット / メンバ所属状況などの、定期監査で必要な情報を REST API で取得できます。 APIドキュメント で詳細な Response を確認できます。 グループセット一覧取得
指定したオーガニゼーションのグループセットの一覧とそのグループ、メンバの一覧を取得します。 レスポンスには各グループセット内でのグループ情報や所属ユーザ情報などが含まれます。 グループセットの作成状況および各グループの所属情報を把握する際にご活用ください。 APIドキュメント で詳細な Response を確認できます。 メンバ一覧取得
指定したオーガニゼーションに所属する全メンバのロールやグループ所属状況を一覧表示します。 レスポンスには各ユーザの表示名、オーガニゼーション内での権限、各グループ内でのロールなどが含まれます。 メンバの表示名やログイン方法の監査や、メンバを起点としてどのグループに所属しているかを把握する際にご活用ください。 APIドキュメント で詳細な Response を確認できます。 改善点
タスク非表示条件の柔軟な設定
「脆弱性情報に何らかの変更」または「指定した期日まで」を OR 条件で指定できるようになりました。 Windowsのペーストスキャンで、サードパーティアプリケーションのリストを登録できるように
Windowsペーストスキャン機能 を拡張し、サードパーティアプリケーションのリストを簡単に登録できるようになりました。これにより、Windows のペーストスキャンでもサードパーティソフトウェアの脆弱性管理が容易になります。 簡単に CPE 登録する方法は、FutureVuls Blog の「 新機能:FutureVuls、Windowsのサードパーティソフトウェアの脆弱性検知がより楽に 」を参照してください。 通知用メールアドレスの複数登録サポート
「グループ設定 > 通知」セクションに「メーリングリスト」オプションを追加。これにより、FutureVuls に登録されていないメールアドレスへの通知が可能になり、チーム全体への情報共有がスムーズに行えます。 今回のリリースでは、「 Immediateなタスクの即時通知 」に対応しました。 その他の通知機能についても、順次対応を検討しております。 脆弱性に対して優先度を設定できるように
検知された脆弱性に対して、グループ単位で脆弱性優先度を設定できるようになりました。 タスクと同様に脆弱性に対しても HIGH , MEDIUM , LOW , NONE の優先度を設定できます。 脆弱性が検知されてタスクが自動作成される際に、その時点で設定されている脆弱性優先度がタスクの優先度として自動設定されます。 なお、 HIGH が設定された場合は脆弱性一覧とタスク一覧の該当行がハイライトされます。 ヘルプ > 優先度 CSIRT プランは「 自動脆弱性優先度 」機能を利用できます。 タスク優先度と脆弱性優先度の画面表記のカスタマイズ機能
オーガニゼーション設定から、タスク優先度と脆弱性優先度の画面表記を変更できるようになりました。 HIGH , MEDIUM , LOW , NONE をそれぞれ変更できます。 SSVCのトリガー&アクション変更時に新しいアクションを自動適用するように
これまで SSVC トリガー&アクションの設定を変更した際に、既存タスクに対して新しいアクションの内容が自動適用されていませんでしたが、今回のリリースから変更時にアクションが自動適用されます。 具体的には、たとえば「immediate のトリガー&アクションの設定を変更し対応期限を1日後」に変更した場合は、「すでに immediate がセットされている既存タスクの対応期限が明日」に自動適用されます。 なお、既存タスクへのアクションの適用は非同期で処理が行われるため、即時反映されない場合がある点をご認識ください。 パッチ提供有無の表示精度を改善
FutureVuls では脆弱性やタスクごとにパッチ提供の有無を表示していますが、一部スキャン方法(CPE スキャンと Windows スキャン)において精度を改善しました。これにより、脆弱性への対応としてパッチを適用するのかそれ以外の方法を取るのか判断しやすくなりました。 脆弱性DBの更新頻度を高め、より迅速に検知できるように
これまでは FutureVuls サービス側で保持している脆弱性 DB は朝晩の2回更新していましたが、1日6回(4時間に1回)に変更しました。これにより、緊急度の高い脆弱性情報が公開された場合に、これまでよりも迅速に検知できるようになりました。 Trivyのバージョンアップによる対応環境の強化
Trivy を 0.49 系にアップデートし、対応する LockFile が増えました。詳細は 対応環境 をご覧ください。 WordPressなどの一次情報のURLを脆弱性詳細ページに掲載
WordPress 本体、テーマ、プラグインの43,000件以上の脆弱性情報が管理されている「 wpscan.com 」の詳細情報が、脆弱性詳細ページで表示されるようになりました。 また、Debian のアドバイザリの一部で「 TEMP-から始まるアドバイザリ 」についても脆弱性詳細ページにリンクが掲載されます。 仕様変更
Dangerフラグ機能を廃止
今回のリリースで脆弱性優先度が追加されたため、Danger フラグ機能を撤廃しています。過去に Danger フラグがつけられた脆弱性に関しては、優先度 HIGH として変更しています。 Windowsの初回スキャン時のサーバ名にホスト名を設定
Windows の初回スキャン時に、ホスト名が自動的に FutureVuls のサーバ名として設定されるようになりました。 FutureVuls API経由のタスク更新者を API ユーザに変更
これまで FutureVuls API 経由でタスクを更新すると、 システム ユーザによる更新としてタスクへのコメントが追加されていましたが、今回のリリースより API ユーザのコメントとなるよう仕様を変更しました。 「SSOで招待したユーザ」にたいして承諾前にロール変更・招待破棄可能に
これまでグループへ外部のユーザを「SSO ユーザ」として招待する際、承諾前にロール変更・招待破棄ができませんでしたが、今回のリリースにより操作可能となりました。 非推奨機能
GCP連携
Google Cloud の Container Registry サポート終了に伴い、FutureVuls では GCP 連携機能を非推奨とします。Artifact Registry への移行をお勧めします。詳細は、 Google Cloudの公式アナウンスメント をご参照ください。 FutureVuls として「Container Registry の非推奨」に伴う対応を2024年5月15日までに行う予定が現在はないため、2024年5月15日以降に GCP 連携による登録済みの Container Registry の Docker Image の脆弱性管理を保証できません。そのため、 Trivy連携 によるスキャンへの方針変更を推奨しています。 もし Artifact Registry 対応の要望がございまいたら、 機能追加要望 よりお問い合わせください。 追記(2024年10月21日)
2024年10月21日から、Artifact Registry 連携が利用可能となりました。 詳細については下記をご参照ください。 リリースノート 操作マニュアル GCP認証情報の登録 コンテナイメージの登録
security2024-02-08
2024-02-08 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2024年2月8日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナのバージョン OS スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.24.9 build-b9evcf3 Version: 2024/02 Windows用 vuls v0.24.6 build-ef29afb Version: 2023/09 Trivy Version: 0.35.0 Version: 2023/04 CabスキャンがリモートSSHスキャンに対応しました
wsusscn2.cab を用いて Windows の脆弱性を検知する Cab スキャンが、リモート SSH スキャンに対応しました。 これにより、 wsusscn2.cab を複数の Windows それぞれに配置することなく Cab スキャンが行えます。 また、インターネットに直接つながらない閉域網内の複数の Windows を、SSH 経由で Cab スキャンができるようになります。 環境の構築方法や検証方法については、「 FutureVulsブログ 」を参考にしてください。 本機能は現時点では v0.24.9以上の Linux 用スキャナのみ対応しております。 リモートCabスキャンの構成図
security2024-01-15
2024-01-15 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2024年1月15日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナのバージョン OS スキャナバージョン スキャン実行スクリプト Linux用 [NEW] vuls v0.24.8 build-bbf53c7 Version: 2023/07 Windows用 vuls v0.24.6 build-ef29afb Version: 2023/09 Trivy Version: 0.35.0 Version: 2023/04 EPSSをFutureVuls上で参照できるように
EPSS(Exploit Prediction Scoring System)は「今後30日以内にその脆弱性が悪用される確率」を表し、その脆弱性の脅威度を示すスコアであり、 FIRST により公開されています。 今回のリリースにより FutureVuls の画面上でそれぞれの脆弱性が「将来的に悪用される脅威度」を確認できるようになりました。既存の SSVC に加えて、EPSS を活用した脆弱性管理が可能となります。 例えば以下のような使い方が考えられます。 SSVC で immediate に分類されたどのタスクから対応するか SSVC で scheduled に分類されたが EPSS スコアが高いタスクを調べたい 詳しくはこちらの「 用語解説 」や、EPSS について解説した「 ブログ記事 」、脆弱性対応の戦略とフレームワークについて解説した「 ブログ記事 」などをご参照ください。 実際に EPSS を利用する中で、なにかご要望やご提案が出てきましたら、改良のインプットにさせていただきますので、「 サポート 」までお知らせください。 SBOMインポートの強化:SBOMからFutureVulsのサーバを作成可能に
SBOM のインポート対象に、新たに OS および OS パッケージを追加しました。「 以前のリリース 」では、Trivy や Syft による依存ライブラリの登録に限定されていましたが、本リリースにより対応範囲を OS まで拡充しました。これにより、SBOM が含むソフトウェア資産と、関連する脆弱性を FutureVuls のサーバとしてまとめて管理できるようになりました。 詳細は マニュアル をご参照ください。 SBOM 機能は今後も継続的に改良する予定です。要望やご提案がありましたら、「 サポート 」までお知らせください。 通知強化:immediateタスク通知範囲のカスタマイズ
SSVC により immediate と判定されたタスクの通知範囲を「グループ全体」から「主担当者と副担当者のみ」に変更する機能を追加しました。詳細は マニュアル をご参照ください。 通知強化:Daily/Weekly Reportで対応予定日を超過したタスク数を確認できるように
Daily / Weekly Report に対応予定日を超過したタスク数を追加しました。 詳細は マニュアル をご参照ください。 サーバの保護機能:意図しないサーバ削除を防げるように
「 サーバ削除保護 」機能が追加されました。 本機能を「有効」にすると、FutureVuls 画面や「 FutureVuls API 」による「 サーバの削除 」操作を制限し、意図しないサーバの削除が防げるようになります。 SSVCによる自動トリアージ:再検知したタスクに自動トリアージを適用
パッチ適用等で Close されたタスクが、脆弱性情報の変更等で再検知された場合でも、SSVC Priority に応じた自動トリアージが適応されるようになりました。従来は「再検知されたタスクのステータスを手動で更新すること」が必要でしたが、本リリースにより、再検知されたタスクのステータス更新が自動化されました。 仕様変更
メール通知の文言変更
メールタイトルのプレフィックスを、[FutureVuls]から[FVuls]に変更しました。 また、以下のようにメールタイトル本文を変更しました。 タイミング 変更前 変更後 タスク一括更新時 [タスク] 一括更新通知 - グループ名: グループ名 タスクコメントの1行目 [タスク更新] グループ名 タスクコメントの1行目 タスクコメント追加時 [タスク] タスクコメントの1行目 [タスクコメント] タスクコメントの1行目 - グループ名 タスク更新時 [タスク タスクID ] 更新通知 - グループ名: グループ名 [タスク更新] グループ名 Daily Report (対応期限切れタスク有) [対応期限切れ有] Daily Report( オーガニゼーション名 / グループ名 ) [期限切れ有] Daily Report( オーガニゼーション名 / グループ名 ) Weekly Report (対応期限切れタスク有) [対応期限切れ有] Weekly Report( オーガニゼーション名 / グループ名 ) [期限切れ有] Weekly Report( オーガニゼーョン名 / グループ名 ) Daily Report (予定日切れタスク有) - [予定日切れ有] Daily Report( オーガニゼーション名 / グループ名 ) Weekly Report (予定日切れタスク有) - [予定日切れ有] Weekly Report( オーガニゼーション名 / グループ名 ) Daily Report (予定日/期限切れタスク有) - [予定日/期限切れ有] Daily Report( オーガニゼーション名 / グループ名 ) Weekly Report (予定日/期限切れタスク有) - [予定日/期限切れ有] Weekly Report( オーガニゼーション名 / グループ名 ) グループ・グループセットのリストを名前順で表示するように
コンソールのヘッダにあるグループ・グループセット選択リスト、および オーガニゼーション設定 > 「グループ」「グループセット」 に表示される一覧の並び順を変更しました。 これまでは登録順で表示されていましたが、今後は名前の昇順でソートして表示されるようになります。 「脆弱性タブ」のSSVC最高優先度の改善
従来、「脆弱性タブ」における「SSVC 最高優先度」は、脆弱性に関連するタスクの中で最も高い優先度を基に設定されていました。例えば、いずれかの「対応済みタスク」が immediate と評価される場合、それが最高優先度として選ばれていました。しかし、この方法では、「対応済みではないタスク」をトリアージする際に「対応済みタスクの Immediate」が表示されてしまい、ノイズとなるケースがありました。 今回のアップデートにより、「脆弱性タブ」の「未対応/対応中/保留中」サブタブにおいて、関連するタスクの中から「対応済み以外」のステータス New / Investigating / Ongoing / Defer )を持つタスクを基に SSVC 最高優先度を決定します。これにより、各サブタブ内でトリアージがより容易になりました。 グループセット管理者の権限拡張
グループセット管理者がグループ・グループセットを新規作成できるようにしました。 これに伴い、グループセット管理者がオーガニゼーション設定の「グループ」「グループセット」のページを閲覧できるようになりました。 グループセット管理者が「グループ」「グループセット」のページを閲覧した際、そのユーザがアクセス権限をもつグループ・グループセットのみが表示されます。 また、グループセット管理者が新規作成するグループは、グループセットに紐づくグループのみに制限されます。 その他の仕様変更
未対応タスク等取得時の処理速度を改善しました。 脆弱性タブの一覧を Immediateな未対応タスク数 や 警戒情報 が強調されるようなスタイルに変更しました。 CSIRT 権限でできることを「課金処理系・オーガニゼーション情報変更」以外のすべてに変更しました。 グループセット > タスクタブに「グループ名」「サーバ名」「警戒情報」列を追加しました。 vuls-v0.24.1 build-9d8e510 よりも古い Windows 用スキャナのサポートを終了しました。 脆弱性詳細 > CWE に OWASP TOP 10 2021の情報を追加しました。 CSV をエクスポートした際に一部で列がずれる不具合を修正しました。 「 Slack Webhookによる連携 」は廃止予定です。現在 Webhook を使用しているユーザは「 Slack APPによる連携 」に速やかに移行してください。 FutureVuls コンソールのサーバタブのロード処理をチューニングし、読み込みを高速化しました。
announcement2023-11-20
2023-11-20 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2023年11月20日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナのバージョン OS スキャナバージョン スキャン実行スクリプト Linux用 vuls v0.24.4 build-b9db541 Version: 2023/07 Windows用 vuls v0.24.6 build-ef29afb Version: 2023/09 Trivy Version: 0.35.0 Version: 2023/04 Windowsスキャナの不具合を修正
Windows スキャナの下記不具合を修正しました。 Cabファイルを用いたスキャン を実行時に、 C:\Windows\SoftwareDistribution\ScanFile\ ディレクトリ配下に Cab ファイルが展開され滞留する不具合を修正 プロキシ環境下でアップロードに失敗する不具合を修正 本修正は、スキャナを最新に更新することで反映されます。 スキャナの自動更新 オプションの対象ですので、有効な環境では対応不要です。 グループセットのタスクコメント投稿時に「グループメンバ」「グループ管理者」に通知できるように
グループセットのタスクコメントを投稿時にグループメンバ(@groupMember)とグループ管理者(@groupAdmin)に対して通知できるようになりました。 CSIRT がグループメンバ全員に対して、遅延しているタスクに対応を催促したり、未対応な高リスクなタスクに注意喚起する用途などでお使いください。
security2023-09-26
2023-09-26 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2023年9月26日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナのバージョン OS スキャナバージョン スキャン実行スクリプト Linux用 vuls v0.24.4 build-b9db541 Version: 2023/07 Windows用 vuls v0.24.1 build-9d8e510 Version: 2023/09 Trivy Version: 0.35.0 Version: 2023/04 今回リリースされた Windows 用スキャナは、 スキャナ自動更新機能 の対象外です。 Windows 用スキャナをお使いの方は、手動での 再インストール の実施が必要です。 旧バージョンの Windows スキャナをお使いの方は2024年1月1日までに手動アップデートを実施してください。参考: スキャナバージョンの確認方法 SBOM対応の強化:TrivyとSyftのSBOMをサポート
SBOM を直接画面にペーストすることで、依存ライブラリを登録できるようになりました。2023年9月現在、「 aquasecurity/trivy 」および「 anchore/syft 」の SBOM がサポートされています。詳細は マニュアル をご参照ください。 FutureVuls では、今後も SBOM 対応の充実を図ってまいります。SBOM 対応についてのご要望やご提案がありましたら、「 サポート 」までお知らせください。 Windowsスキャン:SSHを利用したリモートスキャンに対応
Windows 用の Vuls スキャナから SSH を使用してスキャン対象の Windows マシンに接続し、 リモートスキャン を実施できるようになりました。また、FutureVuls でサポートされる Windows スキャナは OSS Vuls のコードベースに変更されました。これにより、config.toml などの各種設定情報の形式が Linux スキャナと統一されました。 既存の Windows スキャナと設定ファイルは、 手動でのアップデート 後、次回のスキャン時に自動的に更新されます。 新スキャナのマニュアルは こちら Immediate なタスクの検知時のメール通知機能の追加
CSIRT プランの SSVC機能 において、検知したタスクが4つの優先度レベルに自動で分類されます。 このうち、最も高リスクで即時対応が必要な immediate なタスクが検知された際に、グループ全体に通知が送信される新機能を追加しました。詳細は マニュアル をご参照ください。 Weekly Report機能の新規追加
Daily Report に加えて、Weekly Report 機能を新たに追加されました。これにより、1週間分のデータがまとめてレポートとして送信され、組織内での週次チェックが可能となります。詳細は マニュアル をご参照ください。 タスクコメントでのメンション機能の追加
タスクコメント欄で @ を入力すると、メンションの候補が表示されます。メンションされたユーザにはコメントの内容がメールで通知されます。 ネットワーク機器の発見とFutureVulsへの登録の自動化
指定した CIDR レンジからネットワーク機器を発見し、それらの CPE を自動特定できるようになりました。これにより、手動での CPE 調査や登録の手間が省けます。詳細は マニュアル を参照ください。 Fortinetの一次情報を脆弱性検知用のデータソースに追加。これまでよりも検知精度が向上
これまで CPE スキャンで利用するデータソースは NVD と JVN でしたが、今回新たに Fortinet の一次情報を脆弱性検知用のデータソースに追加しました。Fortinet 社製品の脆弱性が迅速に検知されるようになり、検知精度が向上しました。 オーガニゼーション全体での二要素認証の必須化設定の追加
オーガニゼーション全体で二要素認証を必須に設定できるようになりました。詳細は マニュアル をご参照ください。 グループセットにサーバタブの追加
グループセットにサーバタブが新たに追加され、サーバの脆弱性の対応状況を一目で確認できるようになりました。詳細は マニュアル をご参照ください。 その他の仕様変更
スキャナインストール用ワンライナ表示で、 fast-root かつ offline のモードを選択可能に 「 Slack Webhookによる連携 」が年内で廃止。現在 Webhook を使用しているユーザは「 Slack APPによる連携 」に移行してください。
security2023-09-11
2023-09-11 リリース内容
このリリースでは、下記のバグが修正されています。 Amazon Linuxの新着脆弱性が検知されない
項目 説明 事象 Amazon Linuxの新規に公開された脆弱性が正常に検知されない問題が確認されました。 対象 Amazon Linux 原因 この問題の原因として、約3-4ヶ月前に実施した脆弱性情報取得ロジックの修正にバグが存在していたことが判明しました。 具体的には、この修正の影響でAmazon Linuxの脆弱性を取得するロジックに不具合が混入し、Amazon Linux用の監視スクリプトが動作していなかったことが確認されました。 対応 幸い、この問題に関してユーザ様側で特別な対応は必要ございません。 再発防止策 弊社では、今回の事象を重く受け止め、監視を強化することで再発を防ぐよう取り込んでいきます。
security2023-07-25
2023-07-25 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2023年7月31日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナのバージョン OS スキャナバージョン スキャン実行スクリプト Linux用 vuls v0.23.2 build-97cf033 Version: 2023/07 Windows用 vuls v0.2.2 build-2a125ac Version: 2023/04 Trivy Version: 0.35.0 Version: 2023/04 Windowsにインストールされたサードパーティ製ソフトウェアのCPEを簡単に登録できるように
以前は、Windows スキャンで登録されたサーバ上のサードパーティ製ソフトウェアの脆弱性を検出するために、対応する CPE を調査し、手動で CPE を登録する必要がありました。 この新しいリリースでは、CPE の候補を画面上に表示し、画面上で選択するだけで CPE を関連付けることが可能な機能が追加されました。これにより、Windows Update の対象となるソフトウェア「以外」でも、脆弱性検出の対象にすることが簡単になりました。 詳細は、Windows スキャンの サードパーティ製ソフトウェアの脆弱性を検出する セクションを参照してください。 SSVC利用時の脆弱性情報がさらに把握しやすく
グループセットの脆弱性タブに「SSVC高優先度」サブタブを追加
グループセットの脆弱性タブにて新規に「SSVC 高優先度」サブタブを追加しました。 これにより、すべてのステータスの紐づくタスクで SSVC Priority に Immediate / OutOfCycle が含まれる脆弱性をすばやく網羅的に把握することが可能になりました。 詳細は「 脆弱性サブタブ 」をご参照ください。 グループセットの脆弱性一覧に「SSVC最高優先度」「SSVC最新更新日時」列を追加
グループセットの脆弱性情報列に「SSVC 最高優先度」が追加されました。ここには紐づくタスクの SSVC Priority でもっとも優先度の高いものが表示されます。これにより SSVC 最高優先度でソートやフィルタなどを活用し、より細かな脆弱性情報の管理が可能です。 グループセットの脆弱性情報列に「SSVC 最新更新日時」が追加されました。ここには紐づくタスクの SSVC Priority が更新された日時の中で最新のものが表示されます。これにより一定期間内に SSVC Priority が更新された紐づくタスクをもつ脆弱性の絞り込みなどが可能です。 詳細は「 脆弱性一覧 」をご参照ください。 グループセットでのタスク操作
グループセットにタスクタブを追加
グループセットに含まれるグループが持つタスクを一覧で表示するタスクタブを追加しました。 グループセットのタスクタブでは、候補となるデータが他の一覧と比べて膨大になるため Paging での表示となります。一覧右下の矢印ボタンを押すことでページの切り替えを行えます。 表示列のフィルタを使用すると、表示される列と右下の全件数が動的に変化します。また、一部の列にのみに制限されますが表示列のソートが行えます。 一覧から選択したタスクを一括で非表示にすることや一括で優先度や対応予定日などを更新できます。チェックボックスの全選択は、表示しているページのみの全選択となります。 より効率的なタスク管理にお役立てください。 グループセットの脆弱性タブやタスク×サーバタブでタスクの一括編集をできるように
グループセットの脆弱性タブ、グループセットの脆弱性 > タスク×サーバタブにて、複数のタスクを一括編集できる機能を追加しました。 これにより、グループセットの画面からタスク優先度や対応予定日などを更新できるようになりました。 新規タスクに自動で担当者をセットできる「デフォルト担当者機能」を強化
FutureVuls には「サーバ詳細」タブから「サーバのデフォルト担当者」を設定することで、新規に検出されたタスクの主担当者が自動的に設定される機能があります。 しかし、この「サーバのデフォルト担当者」は手動で設定する必要があり、サーバを新規登録するたびに設定するのが手間であったり、設定を忘れることがあるという課題がありました。 今回のリリースにより、「グループのデフォルト担当者」を設定できるようになりました。 新規にサーバが登録された場合、そのサーバのデフォルト担当者として「グループのデフォルト担当者」が自動で設定されます。 これにより、サーバのデフォルト担当者の設定漏れを防ぐことができます。 Ubuntu 14.04, 16.04, 18.04の脆弱性検知をサポート
LTS(Long Term Support)の標準サポートが終了し、 ESM(Extended Security Maintenance) の対象となっている、Ubuntu 14.04, 16.04, 18.04の脆弱性検知をサポートしました。 Amazon Inspector連係の改善
Amazon EC2/ECR 連携(Amazon Inspector 連携)により取り込まれた脆弱性 ID が ALAS(Amazon Linux Security Advisories)の場合、次のように脆弱性が FutureVuls に登録されます。 ALAS に関連する脆弱性(CVE)が存在する場合は、ALAS ではなくその CVE ID が FutureVuls に登録されます。ALAS の ID は脆弱性タブ上に関連するアドバイザリーとして表示されます。 ALAS に関連する脆弱性(CVE)が存在しない場合、ALAS の ID が FutureVuls にそのまま登録されます。 FutureVuls APIがさらに便利に
サーバの未対応タスク数を取得可能に
以前までは画面上でしか確認できなかったサーバの未対応タスク数が、サーバ一覧取得 API で取得可能になりました。 詳細は下記ドキュメントをご参照ください。 https://doc.vuls.biz/#/server/server%23getServerList https://doc.vuls.biz/#/groupSetServer/groupSetServer%23getGroupSetServerList
security2023-05-30
2023-05-30 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2023年5月30日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナのバージョン OS スキャナバージョン スキャン実行スクリプト Linux用 vuls v0.22.2 build-6682232 Version: 2023/04 Windows用 vuls v0.2.2 build-2a125ac Version: 2023/04 Trivy Version: 0.35.0 Version: 2023/04 Windowsスキャナの改良
WindowsUpdateサービスに接続できない環境でもCabファイルを用いてスキャンできるように
これまで「インターネットや WSUS などの Windows Update サービスに接続できない環境」では、「 PASTEスキャン 」を利用し、手動で適用済みと未適用な KB リストを画面上にペーストすることで脆弱性管理が可能でした。しかしこの方法には課題があり、Windows アップデートが行われるたびに、画面上で構成情報を手動で再度ペーストする必要がありました。 今回のリリースでは新たに「Windows Update から提供されている cab ファイル」とスキャナプログラムを用いて脆弱性を検知できるようになります。結果はスキャナプログラムからアップロードされるので構成情報の同期は自動で行われます。 詳細は「 windows/#cabファイルを用いたスキャンWindowsスキャン 」を参照してください。 Windows Scan時にwinhttp Proxy設定を設定しないように
v0.2.1以前のスキャナでは、システムワイドなプロキシ設定(netsh)が Vuls スキャナを実行したタイミングで、config.toml に設定した値で変更されていました。 v0.2.2以降のスキャナでは、Vuls スキャナの実行時にシステムワイドなプロキシ設定を変更しないようになりました。 詳細は「 プロキシ設定 」を参照してください。 通知の改良
グループ全員へのメール通知にオーナ、Csirt、グループセットアドミン、グループセットメンバも含める
これまで、グループ全体へのメール通知は、グループに直接所属している人だけが受け取っていました。 今回から、そのグループに権限がある上位権限者(オーナ、Csirt、グループセットアドミン、グループセットメンバ)もグループ全体通知の対象として含むようになりました。 自動トリアージの設定変更をMail, Slack, Teams通知
オーガニゼーション設定で、自動トリアージの設定(自動 Danger,自動非表示)を変更した際に、メールで変更内容が通知されるようになりました。 また、こちらの通知はオーガニゼーションに所属しているグループすべてに Slack、Teams で通知されるようになりました。 これによって、トリアージの内容の変更を自動で利用者に伝えることが可能です。 Teams/Slackにおける、DailyReportの改善
Teams/Slack の DailyReport の内容をリッチにしました。 脆弱性情報、SSVC 情報にリンクを付与し、メッセージから直接該当のページへ飛べるようになりました。 重要フィルタの変更をMail, Slack, Teams通知
グループセット設定/グループ設定で、重要フィルタの設定を変更した際に、メールで変更内容が通知されるようになりました。 これによって、重要フィルタの内容の変更を自動で利用者に伝えることが可能です。 複数タスクに対してコメントのみの入力が行えるように
複数タスク更新の際にコメントのみを更新できるようになりました。 さらにコメント追加時にグループへのメール通知機能も追加しました。 サーバ構成情報の同期漏れに気付けるように
サーバ一覧ページにおいて、スキャン日時に関連する情報がわかりやすくなりました。 従来は以下の情報が表示されていました。 最新スキャン日時 最新アップロード日時 手動スキャン日時 これらを廃止し、新しく次の情報を追加しました。 検知処理日時 登録されている構成情報と脆弱性情報とのマッチング処理が成功した最新日時 構成同期日時 スキャナがサーバの構成情報を FutureVuls に同期した最新日時 また、構成同期日時が24時間以上古い場合に、サーバ詳細ページでアラートが表示されるようになりました。 今までは脆弱性情報の検知処理が成功した時刻と、スキャナが構成情報を同期した時刻が混合されて表示されていましたが、今回のアップデートでそれぞれ別の値として確認できるようになりました。 構成情報の同期漏れにもすぐに気づき対応できるようになったため、より安全な脆弱性管理を実施いただけます。 参考: スキャン結果が反映されない REST APIへの影響について
本変更に伴い、REST API のレスポンスに一部変更があります。 影響のある API サーバ一覧取得 サーバ詳細取得 その他サーバ情報がレスポンスに含まれる API 新規追加された値 lastSyncedAt(構成同期日時) lastDetectedAt(検知処理日時) 2023年をもって廃止予定の値 lastScannedAt(最新スキャン日時) lastUploadedAt(最新アップロード日時) 廃止予定の値を利用している方は、新しいレスポンスへの移行をお願いいたします。 Amazon EC2インスタンスのInspectorスキャン連携
「 Amazon Inspector 」の EC2スキャン結果を取り込み、FutureVuls 上で管理できます。 連携には「 AWS認証設定 」が必要です。 詳細は「 Amazon EC2インスタンススキャン 」をご参照ください。 「 2023-3-29リリース 」より以前に AWS 認証設定を行った場合は、更新が必要です。 「 FutureVulsで利用するポリシー 」を参照し、 FutureVulsAssumeRole のIAM Policyに Action として inspector2:ListCoverage と inspector2:ListFindings を追加してください。 FutureVuls APIがさらに便利に
サーバのEOLを取得可能に
以前までは画面上でしか確認できなかったサーバの EOL が、サーバ詳細取得 API で取得可能になりました。 詳細は下記ドキュメントをご参照ください。 https://doc.vuls.biz/#/server/server%23getServerDetail https://doc.vuls.biz/#/server/server%23getServerDetailByUUID https://doc.vuls.biz/#/groupSetServer/groupSetServer%23getGroupSetServerDetail https://doc.vuls.biz/#/groupSetServer/groupSetServer%23getGroupSetServerDetailByUUID タスクの対応期限変更
以前までは画面上でしか設定できなかったタスクの対応期限がタスク更新 API で簡単に更新できるようになりました。 詳細は下記ドキュメントをご参照ください。 https://doc.vuls.biz/#/task/task%23updateTask グループセットAPIでタスクのコメントを作成
グループセットの API で、グループのタスクコメントが作成可能になりました。 さらに、コメントを作成するとそのコメント内容をグループへメール通知する機能を追加しました。 リクエストにて needGroupNotice を指定するとメール通知が行われます。 これによって、特定の脆弱性、特定のサーバに対する内容を API からグループ内に周知することが可能となります 詳細は下記ドキュメントをご参照ください。 https://doc.vuls.biz/#/groupSetTask/groupSetTask%23addGroupSetTaskComment その他
いくつかの不具合を修正しました。
security2023-04-26
2023-04-26 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2023年4月26日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナとスクリプトのバージョン OS スキャナバージョン スキャン実行スクリプトのバージョン Linux用 vuls-v0.23.1-build-b91a7b7 Version: 2023/04 Windows用 vuls v0.2.1 build-36d85c1 Version: 2023/04 Trivy Version: 0.35.0 Version: 2023/04 スキャナ実行用のスクリプトファイルに更新があったため、次のスキャン種別にて 再インストール が必要です。 Linux OSパッケージスキャン Windowsスキャン Trivyスキャン Dockerスキャン 依存ライブラリスキャン このリリースでは、いくつかのバグが修正されています。 「対象」に該当する場合は適切な対応をお願いいたします。 UbuntuとDebianの検知ロジック改修
項目 説明 事象 バイナリパッケージとソースパッケージが同じ名前の場合に脆弱性が検知されないケースがあった。また、一部のカーネル関連の脆弱性が検知されていなかった 対象 DebianおよびUbuntu 対応 Scannerを最新版にアップデートしてください 該当プルリクエスト Vuls#1646 GitHub連携のロジック改修
項目 説明 事象 GitHub連携で依存ライブラリ数が大量の場合にスキャンエラーが発生していた 対象 GitHub連携を設定していた一部のユーザ 対応 ユーザ側の対応は特に必要ありません 該当プルリクエスト Vuls#1650 Amazon Linux 2022, 2023でconfigtestコマンドでリモートスキャンの環境設定をテストできるように
項目 説明 事象 configtestコマンド を実行すると yum-utilsがインストールされていない というエラーが表示される 対象 リモートスキャンモードでAmazon Linux 2022, 2023をスキャンする場合 対応 Scannerを最新版にアップデートしてください 該当プルリクエスト Vuls#1635
security2023-03-29
2023-03-29 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2023年3月27日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナのバージョン OS スキャナバージョン スキャン実行スクリプト Linux用 vuls v0.22.2 build-6682232 Version: 2023/04 Windows用 vuls v0.2.1 build-36d85c1 Version: 2023/04 Trivy Version: 0.35.0 Version: 2023/04 スキャナ実行用のスクリプトファイルに更新があったため、次のスキャン種別にて 再インストール が必要です。 Linux OSパッケージスキャン Windowsスキャン Trivyスキャン Dockerスキャン 依存ライブラリスキャン SSVCのDecisionPointをロール単位で設定できるように
このアップデートにより、グループ単位だけでなくロール単位でも、SSVC の DecisionPoint をより柔軟に設定できるようになりました。これにより、SSVC の設定がより細かい粒度で可能になります。 例えば、「特定のグループの DMZ ロールを持つサーバに対して、Exposure を Open(インターネットからアクセス可能)に設定する」など、DecisionPoint を柔軟に設定できます。ロールに DecisionPoint が設定されていない場合は、従来通りグループの DecisionPoint が適用されます。 Amazon Linux 2023をサポート
Amazon Linux 2023 をサポートしました。 「パッチ提供」の表示を変更
各脆弱性のパッチ提供状況の表示がわかりやすくなりました。 パッチの提供状況が不明であることを示す「❔」ステータスが新たに追加され、パッチ有無の調査の要不要が判断しやすくなっています。 各ステータスの詳細は下記マニュアルの「パッチ提供」列の説明を参照ください。 脆弱性一覧 タスク一覧 スキャナの利便性が向上
スキャナの自動更新に失敗してもスキャンできるように
スキャナの自動更新機能 を利用している環境下で、更新が失敗しても以前のスキャナを使用してスキャン処理が継続されるようになりました。 従来は、スキャナ更新処理が失敗するとスキャン処理自体が停止していましたが、このリリースにより問題が修正されました。 プロキシ環境下Windowsスキャンでスキャナの自動更新機能に対応
プロキシ環境下で Windows スキャンを利用している場合でも、スキャナの自動更新機能を利用できるようになりました。 設定方法は マニュアル を参照ください。 疑似サーバをREST APIで作成できるように
REST API を利用して擬似サーバを作成できるようになりました。 /v1/server/pseudo に POST リクエストを送ることで擬似サーバが作成されます。 API の詳細は以下のドキュメントをご覧ください。 https://doc.vuls.biz/ Amazon ECR連携機能の強化
Amazon ECR連携でもパッチ修正ステータスを正しく表示
この機能は Amazon ECR イメージスキャン設定が 拡張スキャン の場合動作します。 この機能は AWS の認証設定の更新が必要になります。 FutureVulsで利用するポリシー を参照し、 FutureVulsAssumeRole の IAM Policy に Action として inspector2:ListCoverage と inspector2:ListFindings を追加してください。 Amazon ECR スキャン連携から Import された脆弱性の関連するソフトウェアは、今までパッチ修正ステータスが unknown でしたが、今回のリリースで修正バージョンも含め、正しく表示されるようになりました。 Amazon ECRから連携されたスキャン結果の取り込み
Amazon ECR のスキャン結果は今までステータスが SUPPRESSED もしくは、 ACTIVE である脆弱性が FutureVuls に連携されましたが、今回のリリースで ACTIVE の脆弱性のみ連携されます。 AWS Inspectorの抑制ルール によりステータスが SUPPRESSED になった脆弱性はこのリリース以降連携されません。 その他
いくつかの不具合を修正しました。
security2023-03-01
2023-03-01 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2023年3月1日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナバイナリ OS Scannerバージョン Linux用 vuls v0.22.1 build-a528362 Windows用 vuls v0.2.1 build-36d85c1 Trivy Version: 0.35.0 スキャン実行スクリプト Version: 2023/03 スキャン失敗時における、スキャン履歴でのエラー表示・アラートメール通知
これまではスキャン失敗時に構成情報のアップロードが行われないため、スキャン履歴でスキャンの失敗を気づくことができませんでしたが、本リリースにより FutureVulsの画面上で失敗を含むスキャンのステータスを確認可能 となりました。 ■ 対象となるケース Vuls スキャナでのスキャン Linux サーバへのスキャン ローカルスキャン・リモートスキャン 対象となるケースでご利用の方は Vuls スキャナをアップデートしてください。 アップデート方法は以下のリンクの情報にしたがってください。 スキャン実行用スクリプトを更新する Ubuntu Linuxのカーネルの脆弱性検知ロジックの修正
FutureVuls サービス側の検知処理を変更しました。 変更の詳細は GitHub Vulsのイシュー から確認できます。 なお、本変更にともなうユーザ側での必要な操作はありません。
security2023-02-06
2023-02-06 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2023年2月6日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナバイナリ OS Scannerバージョン Linux用 vuls v0.22.0 build-554ecc4 Windows用 vuls v0.2.1 build-36d85c1 Trivy Version: 0.35.0 スキャン実行スクリプト Version: 2022/09 グループ/グループセットの権限管理をより柔軟に行えるように
FutureVuls を全社導入している大企業や多数の顧客環境を運用する MSP(マネージドサービスプロバイダ)の「組織構造に合うように、柔軟にグループやグループセットを権限管理したい」というご要望にお応えしました。また、オーナー権限/CSIRT 権限はデフォルトで全グループの情報を確認・変更できるようになりました。それぞれについて説明します。 グループセットの権限を柔軟に設定できるように
本リリースで、グループセットに対して管理者権限とメンバ権限を追加しました。 グループセット管理者はグループセットの閲覧・変更権限に加えて、グループセットに含まれるグループに対しての管理者権限も持ちます。同様にグループセットメンバはグループセットに含まれるグループに対してのメンバ権限も持ちます。この機能により、複数のグループに対するユーザ権限管理をよりスムーズに行えます。 グループセット管理者権限/グループセットメンバ権限を持ちながら、各グループのグループ管理者/グループメンバ権限を持つこともできます。 オーナ権限/CSIRT権限でデフォルトで全グループの閲覧が行えるように
これまではオーナ権限/CSIRT 権限のユーザがグループの情報を確認する際は、各グループに所属することが必須となっていました。 本リリースでオーナ権限/CSIRT 権限であれば、所属の手順なく各グループの情報を確認・変更が行えるようになりました。 これまで通りオーナ権限/CSIRT 権限を持ちながら、各グループのグループ管理者/グループメンバ権限を持つこともできます。 ユーザ権限の仕様変更
上記のような権限管理をより柔軟に行えるよう、権限の種類追加や参加手続きの廃止などをできるようにしました。 上位の権限を持っている時、その下位のグループセット権限や、グループ権限が自動で割り当たるようになりました。 どの権限で何ができるのかは以下の表を参照ください。 変更 権限種類 CSIRTプランのみ 権限説明 ✓ オーナ - すべての閲覧・変更ができる ✓ CSIRT ✓ 課金関係・オーガニゼーションユーザ管理以外の閲覧・変更ができる ✓ グループセット管理者 ✓ 該当のグループセットとグループセットに含まれるグループの設定と基本画面を閲覧・変更できる ✓ グループセットメンバ ✓ 該当のグループセットとグループセットに含まれるグループの基本画面を閲覧・変更できる - グループ管理者 - 該当グループの設定と基本画面を閲覧・変更できる - グループメンバ - 該当グループの基本画面を閲覧・変更できる - グループ招待者 - グループへ招待された未SignUpユーザ、またはグループへ招待された他のオーガニゼーションに所属しているユーザ 参考)本リリース以前の権限は以下のようになっていました。 権限種類 CSIRTプランのみ 権限説明 オーナ - オーガニゼーション設定、グループセットの閲覧・変更ができる。グループへ管理者として参加できる。 CSIRT ✓ 課金関係・オーガニゼーションユーザ管理以外のオーガニゼーション設定の閲覧・変更ができる。グループセットの閲覧・変更ができる。グループへ管理者として参加できる。 グループ管理者 - 該当グループの設定と基本画面を閲覧・変更できる グループメンバ - 該当グループの基本画面を閲覧・変更できる グループ招待者 - グループへ招待された未SignUpユーザ、またはグループへ招待された他のオーガニゼーションに所属しているユーザ ライブラリスキャンの強化(gradle.lockfile, conan.lock)
新たに Java 系の gradle.lockfile と、C/C++系の conan.lock をサポートしました。 サポート対象の一覧は 対応環境>アプリケーション依存ライブラリ を参照してください。 Microsoft Teams への通知に対応
グループ設定 > 通知から Teams の Incoming Webhook URL を登録することで、24時間以内に新たに検知した脆弱性を DailyReport として Microsoft Teams に通知する機能を追加しました。 連携で利用する Incoming Webhook URL は Microsoft Teams > Channel > Connectors > Incoming Webhook から発行可能です。 Teams で通知される内容は以下のとおりです。 FutureVulsDailyReport カスタム警戒タグのメール通知 トピック登録時のメール通知 CloudOne 連携時のエラー通知 スキャナ認証時のエラー通知 スキャン時のエラー通知 グリッドのフィルタ条件をブックマークや共有可能に
一覧表示のフィルタが URL へ反映されるようになりました。 フィルタを設定した一覧を表示してパーマネントリンクとしてコピー、またはブックマークへ保存できるようになります。 CPEで追加したソフトウェアにタグを登録できるように
CPE で追加したソフトウェアに対して、タグを追加できるようになりました。 追加したタグは CPE の詳細画面や、タスク、脆弱性×タスク、ソフトウェアの一覧に表示されます。 グループセット単位でAPIを実行できるように
グループセット設定にトークンページが追加され、グループセットに対する API トークンが作成できるようになりました。 これまではグループ単位で別々の API トークンを発行する必要があり管理が大変でした。 今後はグループセット単位で API トークンを発行することにより、グループ横断で脆弱性情報やソフトウェア情報を取得いただけます。 詳しい使い方は以下のドキュメントを参照ください。 FutureVuls API REST API はユーザの意見を基に拡張を検討します。 API の追加等のご要望は お問い合わせ ください。 その他
DailyReport の「24時間以内に新規作成された SSVC PRIORITY の高い未対応タスク」のリンク先を修正しました いくつかの不具合を修正しました。
security2022-11-21
2022-11-21 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2022年11月21日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナバイナリ OS Scannerバージョン Linux用 vuls v0.21.1 build-1d97e91 Windows用 vuls v0.2.1 build-36d85c1 Trivy Version: 0.29.x スキャン実行スクリプト Version: 2022/09 SBOM出力に対応
CycloneDX フォーマットの SBOM 出力に対応しました。 サーバの詳細に設置されている SBOM ファイルのダウンロードボタンから JSON ファイル/XML ファイルを取得できます。 CIDRレンジを指定したリモートスキャンが可能に
設定ファイル内に CIDR レンジを指定することで、範囲内のすべてのサーバに対してリモートスキャンが可能になりました。 リモートスキャンの設定を1件1件ファイルに記述すること無く、まとめて設定いただけます。 詳しい設定方法は コチラ を参照ください。 一覧の機能追加・修正
Ubuntuの深刻度を脆弱性一覧に追加
脆弱性一覧で ubuntu.com をソースとする深刻度を表示できるようになりました。 SSVC最高優先度を脆弱性一覧に追加
脆弱性一覧に該当 CVE 内で最も優先度の高い SSVC を表示する SSVC最高優先度 欄を追加しました。 一覧のフィルタにisフィルタを追加
深刻度・優先度など From/Until のみフィルタを用意していた項目に is フィルタを追加しました。 使い勝手の改善
ヘッダーの「デザイン切り替え」ボタンを現在のレイアウトに合わせて変更 HTML タイトルをより動的に変更し、ブラウザの「戻る」「進む」ボタンをより利用しやすいように サーバの GitHub リポジトリで GitHub トークンを確認しやすいようにレイアウト変更 第2ペインやメンバ一覧などのスクロール箇所を変更し、ナビタブやテーブルヘッダーを確認しやすいように メンバ一覧のフィルタでユーザ名だけでなくメールアドレスでのフィルタを行えるように 修正
ユーザプロフィール画面に表示される TOTP 設定状況の挙動を修正しました。 SSVC の「Priority 変化時のトリガー&アクション」で、immediate・out of cycle の対応期限を0日で指定できるようにしました。 クレジットカード請求書をStripeカスタマーポータルへ移行
スタンダードプランのオーガニゼーションで、請求情報の確認を Stripe のカスタマーポータルへ移行しました。 請求情報の確認には請求先メールアドレスに届く確認コードが必要となります。 オーガニゼーション設定 > 請求先メールアドレスに表示されているアドレス での認証をお試しください。 ※それ以外のアドレスでは請求書などを表示できません。 スタンダードプランのFAQ - 請求書を画面上で確認したい 請求先メールアドレスを変更する場合はカスタマーポータルから変更お願いします。 スタンダードプランのFAQ - 契約者やクレジットカードを変更できますか Vulsスキャナのアプリケーション依存ライブラリ自動検出機能の改良
Vuls Scanner には EC2などのスキャン対象サーバのファイルシステム上に存在する Lockfile や Jar などのアプリケーション依存ライブラリを自動で検出する機能があります。ルート以下の全ディレクトリを検索するので CPU の負荷が高く、メモリ使用効率が悪いという課題がありました。 本リリースにて検知対象のディレクトリを複数指定できるようになり、さらにメモリ効率を改良しました。詳細は ヘルプ を参照してください。 Amazon ECR 拡張スキャンに対応
FutureVuls では AWS 連携機能として、Amazon ECR の基本スキャン結果を FutureVuls で取り込む機能があります。 本リリースにて、基本スキャンに加え、 拡張スキャン のスキャン結果の取り込みも可能になりました。 その他
脆弱性詳細内 CVSS の切り替えタブを変更しました。 Paste サーバの追加ダイアログで Windows を選んだ際の入力項目を変更しました。 バンドルサイズを大幅に削減しました。 いくつかの不具合を修正しました。
security2022-09-13
2022-09-13 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます。 古いスキャナでは 最新機能 が利用できません。 スキャナの自動更新 オプションがご利用いただけます。 2022年9月13日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) スキャナバイナリ OS Scannerバージョン Linux用 vuls v0.20.3 build-2a00339 Windows用 vuls v0.2.1 build-36d85c1 Trivy Version: 0.29.2 スキャン実行スクリプト Version: 2022/09 スキャナ実行用のスクリプトファイルに更新があったため、次のスキャン種別にて 再インストール が必要です。 Linuxスキャン Windowsスキャン 最新の自動トリアージエンジン「SSVC」を搭載、リスクベースの判断から対応指示までを全自動化
SSVC 機能は CSIRT プランのみ対象です。 従来の CVSS スコアベースのトリアージでは「実際のリスクベースで判断できない」という課題がありました。 この課題を解決すべくカーネギーメロン大学から提案された最新のリスクベーストリアージ手法が「SSVC」であり、今回のリリースでは、この SSVC のトリアージエンジンを FutureVuls に実装しました。 FutureVuls 内蔵の SSVC エンジンが、上図の左下に記載のシステム環境と現状の4つの条件を考慮して、専門家に代わり実際のリスクベースで対応優先度を自動分類します。 さらに、SSVC が自動分類した4つの優先度「immediate」「out of cycle」「scheduled」「defer」の結果をトリガーにして、タスクのステータス(優先度、対応期限、ステータス)を自動設定することで、運用担当者への対応指示まで自動で可能になります。 たとえば、以下のような設定もできます。 「Immediate」(緊急対応が必要)なタスクは優先度を「High」にしてタスク期限を2週間後に設定する 「Scheduled」(次回の定期メンテナンス時に対応)なタスクはタスクステータスを「defer」(保留)、優先度を「Low」に、タスク期限を次回メンテナンス日の12月2週の水曜日にする また、環境によっては SSVC が判断した「緊急対応」「計画外メンテナンス」が必要な優先度の高い脆弱性の抽出性能は、CVSS スコアベースのトリアージと比べて約「15倍」以上の分類性能を確認しています。 より詳細は チュートリアル > 自動トリアージ を参照してください。 詳細な設定方法は SSVC設定方法 を参照してください。 タスクステータスにDefer(保留)を追加
タスクステータスに、新区分 Defer を追加しました。 タスクの対応を見送る際はこのステータスを指定をしてください。 全体的なタスクステータスと作業フローは下記のイメージになります。 Windowsのペーストスキャンの方法を変更
前回リリースされた Windows スキャンの精度向上に伴い、Windows のペーストスキャンも同様に改修しました。 変更点は以下の通りです。 サーバ種別が pseudo から paste になりました。 管理対象 OS 以外の脆弱性を検知していた不具合を修正しました。 Windows や Microsoft Edge など一部の製品で未修正の脆弱性の検知が可能になりました。 サーバ種別が変わった関係で、既存の Windows ペーストスキャンを引き続き利用できません。 pseudo として登録していた Windows のペーストサーバは一度削除していただき、新しくペーストサーバとして登録してください。 スキャナの自動更新機能を追加
Linux スキャン・Windows スキャンにて、スキャナの自動更新が可能になりました。設定すると、定期的にスキャナのバージョンを確認する必要なく、常に最新の機能をご利用いただけます。 インストール 時と同様に、スキャナのインストールコマンドを FutureVuls 画面上からコピーし、対象の環境で実行してください。 詳しくは、 スキャナの更新 を参照ください。 スキャン対象OSを追加
Linux OSパッケージスキャン にて、新たに Red Hat Enterprise Linux 9をスキャンできるようになりました。 REST APIの強化
手動スキャンが REST API 経由( /v1/server/scan/{serverID} )で可能になりました。 API 経由の Lock ファイル追加時、 fileContent を Base64でも受け取れるようになりました。 AWS連携を強化
AWS 連携が、 IMDSv2 のみ利用可能なインスタンスでも利用可能になりました。 その他
いくつかの不具合を修正しました。
security2022-07-13
2022-07-13 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます 古いスキャナでは 最新機能 が利用できません。 2022年7月13日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) OS Scannerバージョン Linux用 vuls v0.19.8 build-48f7597 Windows用 vuls v0.2.0 build-3d5127e シングルサインオンに対応
SSO 機能は CSIRT プランのみ対象です。 FutureVuls が SSO ログインに対応しました。この機能は CSIRT プランにて利用可能です。 対応プロトコルや各ユースケースに応じた FutureVuls 上の操作について、詳細は SAML連携 をご確認ください。 Windowsのゼロデイ脆弱性を検知可能に
Windows 用スキャナの最新版へのアップデートが必須です。 管理対象 OS 以外の脆弱性を検知していた不具合を修正しました。 また、Windows や Microsoft Edge など一部の製品で未修正の脆弱性の検知が可能になりました。 Trivy連携を強化
Trivy 連携を強化しました。主な追加機能は以下の通りです。 2022-07-13 リリース内容 シングルサインオンに対応 Windowsのゼロデイ脆弱性を検知可能に Trivy連携を強化 定期的にTrivyスキャンを自動実行可能に Trivyスキャナのバージョン管理が可能に リスト上でEnterキーを押して該当行の詳細を表示 サーバ追加ダイアログの並び順を変更 定期的にTrivyスキャンを自動実行可能に
Trivy スキャンインストール時に設定用のスクリプトファイルを実行することで、一日1回自動で Trivy が起動し、スキャンを実行するようになりました。コンテナイメージやアプリケーションライブラリの構成が変更されるたびに再スキャンする必要がなくなり、より快適に日々の脆弱性管理に注力いただけます。 この機能を利用するためには root 権限が必要ですが、root 権限不要で従来の機能を利用できる軽量版も用意していますので、用途に合った方法をお選びください。 詳しくは以下のドキュメントを参考ください。 Trivyによるコンテナイメージスキャン Trivyによるアプリケーションライブラリスキャン Trivyスキャナのバージョン管理が可能に
Trivy スキャナのバージョン管理が FutureVuls 上でできるようになりました。Vuls スキャナと同様にサーバ詳細から確認いただけます。 詳しくは コチラ を参照ください。 リスト上でEnterキーを押して該当行の詳細を表示
脆弱性リストなどのリスト上のセルにフォーカスが当たっているときに Enter キーを押すと該当行の詳細を表示できるようになりました。 十字キーでセルの移動しながら、必要な場合に Enter キーを押して詳細を表示ができ、より軽快に情報の確認が行えます。 もちろん、これまで通りセルのクリックでも詳細を表示できます。 サーバ追加ダイアログの並び順を変更
サーバリストで サーバ追加 をクリックしたときに表示されるサーバ追加ダイアログの並び順を変更しました。 よりスキャンの精度が高いものを上部に配置しています。各スキャン方法の違いについては、 スキャン方法の選択肢と特徴 をご覧ください。
security2022-05-17
2022-05-17 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます 古いスキャナでは 最新機能 が利用できません。 2022年5月17日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) OS Scannerバージョン Linux用 vuls v0.19.7 build-91ed318 Windows用 vuls v0.2.0 build-3d5127e オープンソースのライセンス違反を確認できるように
アプリケーション依存ライブラリの OSS ライセンスを検知して画面上に一覧表示する機能を追加しました。 下記の方法でスキャンした、Lockfile や jar などのバイナリの OSS ライセンスの種類を検知できます。 Lockfileのペーストスキャン Vuls ScannerでLockfileを指定したスキャン Trivyでファイルシステム上のパスを指定したスキャン Trivyでリモートリポジトリ上のライブラリをスキャン また、 グループセット内のGPL系OSSライセンス横断検索機能 から GPL 系のソフトウェアを検索できるようになりました。 組織内のアプリケーションで利用されているすべての依存ライブラリの中から GPL, AGPL のソフトウェアを横断検索する際に便利です。 FutureVuls Blog > OSSライセンス表示機能を開発しました に詳細や開発秘話を記載しましたので参照ください。 スキャナの改良
Linuxのサポート対象を拡充
実機スキャンのサポート対象として下記 OS を追加しました。 Ubuntu 22.04 LTS Amazon Linux 2022 Rocky Linux 8 AlmaLinux OS 8 Fedora Linux 32, 33, 34, 35 openSUSE tumbleweed openSUSE Leap 15.2, 15.3 SUSE Linux Enterprise Server 11 12 15 また、スキャナは x86系の CPU のみ対応していましたが、今回リリースで新たに ARM 系の CPU も対応しました。 対応環境の一覧については linuxホストスキャン をご確認ください。 コンテナイメージスキャンで追加したイメージのOSバージョンおよびEOLも確認可能に
今まで、コンテナイメージスキャンで追加したサーバは OS バージョンや、OS の EOL は表示していませんでした。 今回のリリース以降、コンテナイメージスキャンで追加したサーバは実機スキャン同様、OS バージョン・EOL をご確認いただけます。 WindowsのPASTEスキャンがより簡単に
Windows の PASTE スキャンの登録方法が簡単になりました。他 OS の PASTE スキャン同様に、サーバタブの サーバ追加 ダイアログから登録いただけます。 サーバ名を入力 インストール済みの更新プログラム情報をペースト 詳細は Windows PASTEスキャンの新規登録 をご確認ください。 画面上でスキャナのバージョンを確認できるように
サーバタブ上でスキャナのバージョンが確認できるようになりました。 最新のスキャン機能を利用するためにはスキャナの更新が必須です。 警告が表示される場合はインストールされているスキャナが古いため、最新版にアップデートしてください。 詳細は スキャナバージョンの確認方法 をご確認ください。 タスクの「対応期限」を追加
タスクに、新たに「対応期限」の項目を追加しました。 「対応期限」は主にセキュリティ部門や管理者が設定する項目であり、リスクの高い脆弱性の対応期限を管理できます。 対応予定日、対応期限の使い分けは下記のとおりです。 対応予定日: 次回メンテナンス日など対応予定の日付。主に運用者が設定します。 対応期限: 必須で対応しなければならない期限。主にセキュリティ部門や管理者が設定します。 今後、ダッシュボードやタスク一覧等の「期限切れ」には対応期限が超過しているタスク数を表示します。 対応期限は下記2つの設定方法があります。 タスク詳細画面にて、対応期限を個別に入力(誰でも変更可能) スペシャル警戒タグの対応期限を設定する CSIRT プラン限定の機能です 該当タスクに自動設定されます。警戒タグ設定画面からのみ変更可能です。 詳細・他の項目については タスク一覧 をご確認ください。 通知機能の改良
タスクコメント時の通知
タスクにコメントをした際に、担当者へ通知が送られるようになりました。 メール通知は、主担当者、副担当者へ送られます Slack Appに対応し通知がリッチに
Slack App に FutureVuls を新たに用意しました。 これまでの DailyReport の Slack 通知に加え下記を Slack 通知できるようになりました。 DailyReport トピック作成通知 警戒タグ作成通知 エラー通知 メンションの設定や、種類ごとに別 Channel へ送付もできます。 詳しい設定方法は Slack APP をご覧ください。 (既存の webhook での slack 通知は近日廃止予定です) Daily Reportの充実化
Daily Report に「対応期限切れのタスク数」「警戒タグが付与された脆弱性」「スコアの高い脆弱性上位10件」を追加しました。 Daily Report についての詳細は 通知 > DailyReportメール をご確認ください。
security2022-03-14
2022-03-14 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます 古いスキャナでは 最新機能 が利用できません。 2022年3月14日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) OS Scannerバージョン Linux用 vuls v0.19.2 build-2923cbc Windows用 vuls v0.2.0 build-3d5127e Windowsスキャナの更新
Windows スキャナを v0.2.0に更新しました。更新に含まれる機能は以下の通りです。 WindowsHistoryAPI から KBID を取得 KBID をパッケージ情報ではなく、アドバイザリ情報として取得 適用済み KBID と未適用の KBID を明示的に取得 Windows スキャナにより FutureVuls にアップロードされる情報の詳細は こちら をご確認ください。 後述の、 改善した脆弱性検知 を完全に利用するためには、Windows スキャナの更新が必須です。( スキャナインストール方法 ) Windowsにおける脆弱性の検知精度を改善
Windows スキャナの更新と、脆弱性検知の方法の変更により、Windows に潜むより多くの脆弱性を検知できるようになりました。 変更した脆弱性検知の方法については、 こちら を参照してください。 また、WSUS 環境において、承認設定や未配信によりこれまで検知できていなかった更新プログラムに紐づく脆弱性の検知が可能になりました。 スキャナで検知出来ない未適用な更新プログラムがある場合は、 KBIDを手動登録 することで、承認設定を変更することなく、脆弱性検知ができます。 閉域網にあるWindowsの脆弱性検知をサポート
スキャナを使わず、画面上で KBID をペーストするだけで Windows の脆弱性検知ができるようになりました。 インターネットに直接接続できないオフライン環境の Windows や、セキュリティー事故でオフライン状態な Windows の脆弱性を可視化する用途で便利な機能です。 閉域網での Windows スキャンの方法は こちら をご確認ください。 アドバイザリのテーブル表示
各種 OS ベンダーが用意しているアドバイザリ情報を、一覧で見られる画面を追加しました。 サーバ一覧からサーバを選択した際に、関連するアドバイザリの一覧を見ることができます。 アドバイザリ画面でできることは以下の通りです。 (全体) サーバに関連するアドバイザリ情報の一覧表示 アドバイザリに紐づく脆弱性の表示 (Windows) KBID の手動登録 手動登録した KBID の削除 今後アドバイザリ画面には、タスクの一括更新や、アドバイザリを指定したパッケージアップデートなどの機能追加を進める予定です。
security2022-02-08
2022-02-08 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます 古いスキャナでは 最新機能 が利用できません。 2022年2月8日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) OS Scannerバージョン Linux用 vuls v0.19.2 build-2923cbc Windows用 vuls v0.1.11 build-0e4fca5 pom.xmlのサポート
これまで Java のライブラリスキャンは、jar, war, ear, par のスキャンをサポートしていましたが、新たに pom.xml をサポートしました。 下記のスキャン方法で pom.xml に記載のライブラリをスキャンできます。 LockFileのペーストスキャン vuls-scannerでlockfileを指定したスキャン trivyでローカルファイルシステム上のパスを指定したスキャン Trivyの最新版に対応
Trivy v0.23.0に対応しました。 データグリッドコンポーネントの変更
脆弱性やタスクなどのテーブル表示を MUI DataGrid コンポーネントへ変更しました。 置き換えによる主な追加・変更機能は以下の通りです。 列一覧
これまで表示する列の選択はドラッグ&ドロップで1つずつ入れ替える操作画面でした。今回のアップデートからチェックボックス式で必要な項目を選択する操作画面になりました。 項目の一括で表示・非表示を切り替える機能がありますので、一度全部の列を非表示してから確認したい項目のみを表示して情報を絞ったテーブルにできます 。 また、非表示にした列のテーブルヘッダから列の非表示を行えます。 フィルタ
リスト上部のフィルタボタン、もしくはフィルタしたい項目のテーブルヘッダにある フィルタ からテーブルをフィルタする構成に変更されました。 加えて、テーブルをフィルタする際、これまでの AND 条件に加えて OR 条件でのフィルタが行えるようになりました。 例えば、脆弱性のサマリ列に対して “HTTP” と “Apache” の OR 条件でフィルタをかけることで、サマリにどちらか文字列が含まれる脆弱性の一覧を確認できます。 行間隔の調整
テーブル行の高さを3段階で変更できるようになりました。ゆったりしたテーブルの高さで確認したいときには「ひろめ」、より情報を密集させたいときは「コンパクト」を設定してください。 列のピン止め
テーブルヘッダから Pin to left / Pin to right を選択することで一時的に列のピン止めを行えます。 項目のソート順変更
深刻度・優先度・ステータスのソート順をアルファベット順からそれぞれ適したソート順に変更しました。 表示の軽量化
若干ですがリスト表示が軽量化しました。 ステータスごとのタスク数表示
グループ内の脆弱性・サーバ・ロールでのリストに、これまでの「未対応タスク数」「全タスク数」に加え「対応中タスク数」「対応中タスク数」を追加しました。 各脆弱性の対応状況確認にご活用ください。 トピックを第3ペインで表示
第3ペインで脆弱性詳細が表示される際、トピックの確認も第3ペイン内で行えるようになりました。 ダッシュボードグラフの対応済タスクを表示選択可能に
ダッシュボード機能は CSIRT プランのみ対象です ダッシュボードのタスク数遷移グラフに関して、対応済みタスクをグラフに含めない表示ができるようになりました。 ダッシュボード内の「対応済タスクをグラフから非表示」ボタンから切り替えが可能です。 タスク情報を他のサーバからコピーできるように
「新たにサーバを管理対象へ追加した際にゼロから再度トリアージするのは大変。過去にトリアージ済みの同じような構成のサーバのタスクステータスを丸ごとコピーしたい」 という要望をうけ、サーバに紐づくタスク情報を、グループ内の他のサーバからコピーして更新できるようになりました。 既に FutureVuls に登録済みのサーバと同じような構成のサーバを新しく追加した際に、ステータスなどの情報を一括して同期させることができます。 タスクをコピーする際は、次の手順に従って操作してください。 サーバタブからコピー先のサーバを選択し、詳細画面を開く。 画面下部に表示されている 別サーバのタスク情報をコピー ボタンからダイアログを開く。 コピー元となるサーバを選択して実行する。 コピーされるタスクは、コピー先でステータスが NEW かつ、コピー元サーバと共通して検知されているタスクです。 また、コピーされるタスク情報は以下の通りです。 ステータス 優先度 主担当者/副担当者 実行予定日 非表示設定 CloudOneの新規API認証に対応
CloudOne アカウントシステムの変更に対応しました。 2021年8月4日以降に Trend Micro Cloud One を登録した場合は、 新しいCloud Oneアカウントシステム が適用されます。 新しいアカウントシステムで CloudOne 連携を設定する際は、ご利用のリージョンも選択してください。 詳しい設定方法は マニュアル を参照ください。 CloudOne連携済みサーバに今どのポリシーが適用されているのかをFutureVulsで確認できるように
サーバ詳細ページから確認いただけます。 設定画面の構成変更
トークン設定画面の変更
トークンの有効化・無効化や権限の変更、トークンの再生成が行いやすい構成へ変更しました。 スペシャル警戒タグ設定画面の変更
スペシャル警戒タグ機能は CSIRT プランのみ対象です 編集やメールでの再通知をより行い構成へ変更しました。 FutureVuls APIのアクセスを監査ログに登録
FutureVuls API 経由のオーガニゼーションへのアクセスが監査ログで表示できるようになりました。
security2022-01-31
2022-01-31 リリース内容
Canonical社のURL変更に対応
Canonical 社が公開している Ubuntu Linux 用の脆弱性データベースの URL 変更に対応しました。
security2021-12-09
2021-12-09 リリース内容
米国CISAが新たに定義した超危険CVE-IDリストを情報源に追加
2021年11月3日に米国政府のサイバーセキュリティ・インフラセキュリティ庁(CISA)が公開した「 Binding Operational Directive 22-01 」(米国政府系システム向けの運用指令)にて、「攻撃コードが公開されており野生のインターネットで攻撃に悪用された事例が数多くある極めて重大なリスクのある脆弱性リスト」である、「 Known Exploited Vulnerabilities (KEV) catalog 」(以下、 CISA-KEV と記載)を指定しました。米国政府系のシステムでは、この CISA-KEV に該当する CVE は 指定期間内に必須で対応しなければいけない 、という強制力のある内容です。 今回のリリースでは CISA-KEV の情報を取り込み、FutureVuls の下記機能で扱えるようになりました。 ダッシュボードでグループごとのCISA-KEV該当数をひと目で確認できるように 脆弱性一覧でCISA-KEVをフィルタ可能に 脆弱性詳細でCISA-KEVかをひと目でわかるように 重要フィルタ/自動DangerでCISA-KEVを判断条件に指定可能に 以下、それぞれの詳細を説明します。 ダッシュボードでグループごとのCISA-KEV該当数をひと目で確認できるように
ダッシュボード機能は CSIRT プランのみ対象です 「グループセット > ダッシュボード」で、「 CISA-KEV に該当する未対応な脆弱性」を含むグループには、該当する脆弱性の件数と警告が表示されるようになりました。 グループ名をクリックして展開すると、より詳細な説明と関連するタスク数が確認できます。 脆弱性一覧でCISA-KEVをフィルタ可能に
脆弱性一覧の警戒情報カラムの値を三段階に変更しました。 これまでは JPCERT/CC-Alerts、US-CERT-Alerts からの警戒情報に該当するかを確認できましたが、今回の変更により CISA-KEV でフィルタをかけることができるようになります。 警戒情報あり(致命的) は CISA-KEV に含まれる脆弱性のみが該当します。 警戒情報あり(注意) は、JPCERT/CC-Alerts、US-CERT-Alerts の警戒情報弱性が該当します。 脆弱性詳細でCISA-KEV指定の危険CVEかをひと目でわかるように
CISA-KEV に該当する脆弱性の詳細ページを開くと、注意喚起が表示されるようになりました。 重要フィルタ/自動DangerでCISA-KEVを判断条件に指定可能に
重要フィルタ/自動 Danger で警戒情報の深刻度を選択できるようになりました。 致命的 を選択した場合、 CISA-KEV の警戒情報がある脆弱性のみを対象とします。 注意 を選択した場合、 CISA-KEV , JPCERT/CC-Alerts , US-CERT-Alerts からの警戒情報がある脆弱性のみを対象とします。 脆弱性詳細のサマリを短縮表示しました
脆弱性情報のデータソース増加に伴い、詳細画面を占めるサマリの割合が増え、CVSS を見るためにスクロールする必要がでてきました。 今回の変更で、各データソースの CVSSv3スコアと代表的なサマリのみを表示するように変更しました。各データソースのサマリや CVSSv2スコアを確認したい場合は、サマリ下部の ∨ をクリックして展開してご確認ください。 FutureVuls APIで更新できるタスクのステータスを追加
FutureVuls API で更新できるタスクのステータスを追加しました。 追加されたステータス risk_accepted not_affected その他
いくつかのバグを修正しました。
security2021-10-29
2021-10-29 リリース内容
CSIRTプランにダッシュボード機能を追加
本機能は CSIRT プランのみ対象です 脆弱性管理の運用をしっかり回せているグループと、改善が必要なグループを一目みただけで判断可能なダッシュボード機能を追加しました。 「グループセット > ダッシュボード」を開くとグループ毎の情報が表示されます。 グループ名を選択するとグラフが展開されます。 下のグラフのように灰色の「対応済みタスク」が日毎に増えている状態は、検知した脆弱性への対応が出来ており、運用が回っているグループです。 いっぽうで下のグラフのように赤・黄色範囲が増加しているのは、放置されている脆弱性が日毎に増えている状態なので脆弱性管理の運用が回っていないと判断出来ます。運用方法や体制の改善が必要なグループです。 このように、一目みただけで脆弱性管理の運用がしっかり回っているグループと改善が必要なグループを判断できます。 なお、ダッシュボード上の数字をクリックすると、対応するグループのページにフィルタ条件が指定された状態で遷移します。 2021年10月時点のダッシュボードには以下の項目が表示されます。 項目 説明 更新頻度 重要な未対応 グループに残っている「重要な未対応」に割り振られた脆弱性の数を表示します。 1時間毎 未対応タスク 未対応タスクの数を検知されてからの経過日数別で表示します。検知後、長期間放置されているタスク数を確認できます。 1時間毎 期限切れのタスク 期限切れの未対応タスク数を表示します。 1時間毎 タスク数の推移 グループの脆弱性の数をステータスごとの日次推移で表示します。 1時間毎 ダッシュボードはユーザの意見を参考に改良していきます。 「こんなデータがみたい」などのご要望はぜひ リクエスト してください。
security2021-10-15
2021-10-15 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ調査・修正は 最新版にのみ適用 されます 古いスキャナでは 最新機能 が利用できません。 2021年10月15日リリースのスキャナバージョン ( スキャナバージョンの確認方法 ) OS Scannerバージョン Linux用 v0.18.1 build-8659668 Windows用 vuls v0.1.11 build-0e4fca5 Trivy連携を強化
Trivy v0.20.0 に対応しました。 FutureVuls の Trivy 連携は最新版のみをサポートします。 Trivy連携 を参照して必要なモジュールをアップデートしてください。 Trivy trivy-to-vuls future-vuls JavaやGo言語をサポート
新たに Java の JAR/WAR/EAR や Go 言語のライブラリがサポート対象として追加されました。 サポート対象の言語やパッケージエコシステムの詳細は、 Trivy v0.20.0 Language-specific Packages の Filesysetm 列を参照してください。 全パッケージリストを取り込み可能に
これまでの Trivy 連携では、脆弱性が存在するパッケージのみ「サーバ > ソフトウェア」に表示されていまた。今回のリリース以降は、trivy のコマンドライン引数の --list-all-pkgs を指定すると全ソフトウェアリストが「サーバ > ソフトウェア」に表示されます。 詳細は Trivy連携 を参照してください。 ローカルファイルシステムのディレクトリを指定したLockfileのスキャンが可能に
trivy fs コマンドに対応しました。 trivy fs はローカルファイルシステムにあるライブラリの Lockfile や jar をスキャンできます。 詳細は、 trivyでローカルファイルシステム上のパスを指定したスキャン を参照してください。 CPEスキャン機能を強化
NW 機器のファームウェアや、商用ミドルウェア、ソースコンパイルしたソフトウェア用のスキャン方法である、 CPEスキャン 機能を強化しました。 JVNを検知対象のソースに含めるかを選択できるように
CPE 登録・変更時に、JVN を検知対象のソースに含めるかを選択できるようになりました。このチェックを選択した場合は「NVD には脆弱性情報が掲載されていないが、JVN をには登録されている和製ソフトウェア」の脆弱性を検知できるようになります。詳細は マニュアル を参照してください。 検知ロジックの改善
これまでは、OpenSSL のような、登録した CPE のバージョンや NVD 内に記載されたバージョンが セマンティックバージョニング形式 では無い場合に検知漏れする場合がありました。今回のリリースにより、セマンティックバージョニング以外の形式でも検知できるようになりました。検知ロジックの詳細は CPEスキャンのフローチャート も参照してください。 CSIRTプランの機能を強化
本機能は CSIRT プランのみ対象です グループセットでタスクコメントの追加と削除が可能に 初回検知日時を追加 グループセットでタスクコメントの追加と削除が可能に
グループセットの画面からも各タスクへのコメントを残せるようになりました。 セキュリティ部門が各グループの担当者に対してコメントする場合や、個別に注意喚起する際にご利用ください。 初回検知日時を追加
グループセットの脆弱性一覧・ソフトウェア一覧に初回検知日時のカラムを追加しました。 この列でフィルタやソートすることで最近検知された、新しい脆弱性をグループ横断で確認できます。 別のグループへサーバを移動できるように
「組織変更の際に別のグループにサーバを移動したい。タスクのステータスやコメントも一緒にコピーしたい」という要望にお応えし、登録したサーバのグループ間のコピーをサポートしました。 オーガニゼーション設定 > 設定 > サーバ情報を他グループへコピー から対象サーバとコピー先のグループを選択して複製します。その後、旧サーバを画面上から手動で削除するという流れで移動が完了します。 詳細は マニュアル を参照してください。 タスク機能を強化
タスクの一覧・詳細で重要フィルタに該当するかを確認できるように
タスク一覧に重要フィルタのカラムを追加し、重要な脆弱性に関するタスクかを確認できるようになりました。また、タスク詳細でも重要フィルタに合致するか確認できるようになりました。 再検知時にタスクの初回検知日時を更新するように
「Patch_applied」ステータスのタスクが再検知され「new」になった際、初回検知日時を更新するようにしました。 システムによるタスクコメント記録を強化
新規検知時 各データソースの脆弱性情報の変更差分情報 新規公開された攻撃コードの検知情報 タスクステータスの自動変更情報 タスクに関連するパッケージのバージョンアップ情報 攻撃コードの情報ソースを強化
FutureVuls では検知した脆弱性の攻撃コード, Exploit, PoC がインターネット上に公開されているかを画面上から確認できます。今回、新たな情報ソースとして、 github.com/nomi-sec に掲載されている中から「Star 数が3以上のもの」を「信頼度:低」の PoC 情報として追加しました。 また、信頼度が低い PoC 情報をデータソースから削除しました。 その他
いくつかのバグを修正しました。
security2021-07-30
2021-07-30 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ修正は 最新版にのみ適用 されます 古いスキャナでは 最新機能 が利用できない可能性があります。 セキュリティを強化
メールアドレスが無効になったユーザを利用不可に
FutureVuls からのメールが届かなくなったユーザの、ポータル画面へのアクセスが制限されるようになりました。 たとえば、 退社したユーザをグループから削除し忘れた ことによる、意図しないユーザの継続利用を防ぐことができます。 FutureVuls から送付されたメールがバウンス状態になった時点で制限がかかり、プロフィール画面のみ参照可能になります。 無効になったアカウントを復旧したい場合は、登録されたアドレスが有効であることを確認の上、ログインしプロフィール画面から再度認証してください。 メールアドレスに対して認証コードが送付されます。認証コードをメール受信可能な場合のみ、FutureVuls アカウントを復旧可能です。 不正ログインをユーザに通知し対応可能に
通常とは異なるログイン を検知した時、登録されたメールアドレスに通知が送られるようになりました。 記載されたログイン情報に心当たりがない場合は、第三者にパスワードが漏洩している可能性があります。 パスワードの変更や、2要素認証を設定してください。 ユーザ管理を強化
オーガニゼーションへユーザを一括招待
これまで新規ユーザの招待はグループ設定の「メンバ」ページからのみ行えましたが、オーガニゼーション設定の「メンバ」からも行えるようになりました。 オーガニゼーション設定の「メンバ」で「ユーザ追加」をクリックすると、ユーザを追加するためのダイアログが表示されます。 改行やカンマ区切りで入力すると、複数のユーザをオーガニゼーションに一括追加できます。 招待したユーザはグループに配属されていないため、脆弱性情報等を確認できない状態になります。別途グループへの招待をお願いします。 なお、これまで通り、グループ設定の「メンバ」からも新規ユーザの招待を行えます。状況に応じて使いやすいほうをご利用ください。 メンバの所属しているグループを管理しやすく
オーガニゼーション設定の「メンバ」からグループ管理のアイコンをクリックすると、メンバの所属しているグループが表示されるようになりました。 また、メンバの所属するグループの追加・削除もまとめて行えます。 グループに所属しているメンバを管理しやすく
オーガニゼーション設定の「グループ」からユーザ管理のアイコンをクリックすると、グループに所属しているメンバが表示されるようになりました。 また、グループに所属するメンバの追加・削除もまとめて行えます。 脆弱性詳細のデータソース強化
これまで脆弱性詳細には NVd, JVN, Red Hat, Microsoft のスコアを表示していましたが、今回のリリースで以下のデータソースを追加しました。 Amazon Linux Ubuntu Debian GitHub WPScan Trivy 脆弱性詳細のスコア欄には、各ソースから取得された Severity の頭文字が表示されます。 それぞれの Severity と CVSS スコアの目安は以下のとおりです。 表示ラベル Severity 相当するCVSSスコア C CRITICAL 9.0 ~ 10.0 H HIGH 7.0 ~ 8.9 I IMPORTANT 7.0 ~ 8.9 M MEDIUM 4.0 ~ 6.9 M MODERATE 4.0 ~ 6.9 L LOW 0.1 ~ 3.9 タスク機能を強化
タスクに「NOT_AFFECTED」「RISK_ACCEPTED」のステータスを追加
これまでのステータスに加えて、環境に影響がないことを示す「NOT_AFFECTED」とリスクを許容することを示す「RISK_ACCEPTED」のステータスを追加しました。 タスクのステータスは以下の状態を想定しています。 ステータス名 状態 備考 NEW 新規で脆弱性を検知した状態 脆弱性検知時に設定される INVESTIGATING 調査中の状態 検知した脆弱性の調査時に設定する ONGOING 作業中の状態 調査完了後、対応検討や対応準備時に設定する WORKAROUND 緩和策を実施した状態 仮想パッチや設定変更などの緩和策を実施した状態 NOT_AFFECTED 環境に影響がないタスク 脆弱性が環境に影響しないことを確認した状態 RISK_ACCEPTED リスクを許容するタスク 脆弱性による影響を許容することを決定した状態 PATCH_APPLIED パッチを適用した状態 patch適用後の次のスキャンで自動設定される 手動でのステータス設定は不可 タスク内のコメント欄にある更新履歴を非表示にできるように
タスクに投稿されたコメントのうち、システムによるタスクの更新履歴を非表示設定できるようになりました。 タスクの変更履歴を表示したい場合は システムによる更新履歴を表示 バーを ON に、ユーザが投稿したコメントのみを表示したい場合は OFF に設定してください。 検知された脆弱性の信頼度を表示
検知された脆弱性の信頼度が確認できるようになりました。 信頼度 は1から100までの数値で表され、値が小さいと誤検知の可能性が高まります。 信頼度 はタスク一覧や、タスク詳細画面からご確認いただけます。 検知方法の信頼度が低い脆弱性は、重要フィルタや自動 Danger の対象から除外するよう設定できます。 また、検知方法の信頼度が低い脆弱性は、自動非表示の処理をスキップできます。 影響がない場合はタスクを非表示にして、ステータスを「NOT_AFFECTED」に変更してください。 CPEスキャンを強化
日本製ソフトウェアの資産管理が可能に
日本ローカルなソフトウェアは NVD には存在せず、JVN にのみ定義されています。 このような日本製ソフトウェアの CPE を サーバ > ソフトウェア の「CPE 追加」ポップアップから登録し、資産管理可能になりました。 日本製ソフトウェアの脆弱性検知が可能に
CPE スキャンで利用する脆弱性 DB として JVN を追加しました。 登録された CPE の以下の項目にマッチしたものを検知します。 type ベンダー名 プロダクト名 タスク一覧や、タスク詳細画面 の 信頼度 が「CpeVendorProductMatch(信頼度: 10)」となっているタスクは JVN にて検知された脆弱性です。 JVN にて検知された脆弱性はバージョン情報を考慮していないため誤検知の可能性があります。 JVN の該当ページを参照し目視でバージョンレンジを確認し影響がない場合は、タスクを非表示にして「NOT_AFFECTED」に変更してください。 DeprecatedなCPEを注意喚起
登録されている CPE が NVD 上で Deprecated になった場合、ソフトウェア詳細画面で注意喚起されるようになりました。 Deprecated な CPE の脆弱性は今後検知されません。正しい CPE を NVD で確認し、 CPE編集 より更新してください。 CloudOne連携を強化
CloudOne 連携済みのグループで、 グループ設定 > 外部連携 から CloudOne API の実行履歴が確認できるようになりました。 CloudOne API の実行が正常に完了しているか確認したい場合はこちらをご確認ください。 REST APIの強化
REST API に ペーストLockfile の参照・作成・更新・削除機能が追加されました。 curl などを用いて、PASTE サーバを作成・更新いただけます。 詳細は、 REST APIマニュアル をご確認ください。 その他
いくつかのバグを修正しました。
security2021-06-18
2021-06-18 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ修正は 最新版にのみ適用 されます 古いスキャナでは 最新機能 が利用できない可能性があります アプリケーション依存ライブラリスキャンの強化
go.sumをサポート
本機能を利用するためには スキャナの更新 が必要です。 Go 言語アプリケーションの脆弱性検知に対応しました。 LockFileのペーストスキャンに対応
FutureVuls では 複数の方法 でアプリケーション依存ライブラリの脆弱性検知が可能ですが、新たに ブラウザにLockFileの内容をペーストしてスキャン可能 になりました。 登録された LockFile に該当する脆弱性が新規公開されたタイミングで継続的に通知されます。 依存ライブラリをバージョンアップして LockFile の内容が更新された場合は、FutureVuls の画面上から LockFile の内容を更新してください。FutureVuls で検知済みタスクのステータスが「patch_applied」に自動更新されます。 2021年6月18日時点でペーストスキャンがサポートする LockFile は以下の通りです。 Lang LockFile Ruby Gemfile.lock Python Pipfile.lock, poetry.lock PHP composer.lock Node.js package-lock.json, yarn.lock Go go.sum Rust Cargo.lock .NET packages.lock.json 次に、LockFile を登録する方法を説明します。 サーバを選択し、LOCKFILE のタブで追加をクリック LockFile に名前を付け、種別を選択。LockFile の内容をペーストし、送信。 次回スキャン時にソフトウェアの登録と脆弱性を検知します またこれまで通り、スキャン対象サーバ上の config.toml に、サーバ上の lockfileのパスを指定してのスキャン も行えます。 アプリケーション依存ライブラリの検知性能検証
FutureVuls にはアプリケーション依存ライブラリの脆弱性検知の方法が 複数存在 しますが、下記の理由で複数の方法を併用することをおすすめします。 完全に網羅するライブラリ用の脆弱性 DB は世の中に存在しない 検知手法ごとにサポート言語や、パッケージエコシステムが異なる GitHub Security Alertsのサポート対象 ペーストスキャンのサポート対象 参考までに、Lockfile ペーストスキャンと、 GitHub Security Alerts連携 の検知数を比較してみました。 ※ 2021年6月17日時点のデータです。検証に使った Lockfile の URL も掲載します。 Lang スキャンしたLockFile ペーストスキャン検知数 GitHub Security Alerts検知数 Rust Cargo.lock 2 未サポート PHP composer.lock 10 3 Ruby Gemfile.lock 54 16 Node.js package-lock.json 25 12 Node.js yarn.lock 38 26 Python Pipfile 14 3 Go go.sum 18 未サポート 2021年6月17日時点での上記の Lockfile の検知数を見ると GitHub Security Alerts よりも LockFile ペーストスキャンの方が多く検知することを確認できました。 ただし、この結果は以下の条件に依存するため、ユーザ各自で実際に試して検討されることをおすすめします。 検知処理を実施した時点の脆弱性 DB の内容 Lockfile の内容 Cloud One連携の強化
Trend Micro Cloud One Workload Security連携 を強化しました。 FutureVuls で検知した脆弱性に対応する Cloud One 侵入防御ルールが存在する場合は Available ステータスのアイコンが表示されます。 高リスクな脆弱性を検知したが、すぐにはアップデートできない状況。一時的な回避策として、Cloud One に該当する脆弱性の侵入防御ルールが存在するかを確認したいケースで便利な機能です。 Available ステータスは「グループ設定 > Cloud One 外部連携」が未設定でもデフォルトで表示されます。また侵入防御ルール有無の情報は FutureVuls サービス側で数時間に一度の間隔で同期されます。 実際に適用中の侵入防御ルールのステータス表示 防御済みの CVE-ID は自動で「WorkAround」タスクステータスに変更する 侵入防御ルール最適化機能 など、さらに高度に連携する場合は、 グループ設定 > Cloud One連携 を設定してください。 CPEスキャンの強化
CPEスキャン機能 は「FutureVuls 画面上から登録した CPE」に該当する脆弱性を NVD から検知します。主に OS パッケージ以外の脆弱性検知に利用できます。 これまでは CPE の下記の項目のみで比較していました。 種別 ベンダ プロダクト バージョン 今回のリリース以降、他の項目も用いて検知するように変更したため、より正確に検知できるようになりました。 CVE-2017-3160 を例に具体的に説明します。 上記 NVD のページ下部の「Known Affected Software Configurations」(影響を受ける CPE)には、 cpe:/a:apache:cordova:::~~~android~~ Up to 6.1.2 が指定されています。 これは、 apacheのcordovaの6.1.2未満のandroid向けプラットフォーム版 では CVE-2018-3160 の影響を受ける、という意味です。 FutureVuls に cpe:/a:apache:cordova:5.1.1::~~~iphone_os~~ を登録し CPE スキャンするケースを考えます。 これまでの検知ロジックでは cpe:/a:apache:cordova:5.1.1 までを見て a=a && apache == apache && cordova == cordova && 5.1.1 < 6.1.2 が成立するため上記の CVE-2017-3160が誤検知されていました。 今回のリリース以降はバージョン以外の項目で指定されている iphone_os も比較条件に加わったことで android と iphone_os の部分がマッチしなくなり、この例のような誤検知が解消されます。 REST APIの強化
REST API に PASTEサーバ の作成・更新機能が追加されました。 curl などを用いて、PASTE サーバを作成・更新いただけます。 詳細は、 REST APIマニュアル をご確認ください。 サーバ登録方法の集約と整理
「コンテナイメージ追加」や「擬似サーバ追加」はサーバ一覧から、サーバにスキャナをインストールし脆弱性検知する場合はグループ設定画面の「スキャナ」とサーバ登録の方法が散らばっていました。 今回のアップデートでサーバ一覧に「サーバ追加」ボタンとしてまとめ、サーバの登録方法を一覧化しました。 各種サーバの登録方法と追加ボタンを設置し、「?」マークからヘルプページへ移動できます。 その他
いくつかのバグを修正しました。
security2021-05-21
2021-05-21 リリース内容
サーバに導入済みのスキャナは定期的に 更新 してください。 スキャナのバグ修正は 最新版にのみ適用 されます 古いスキャナでは 最新機能 が利用できない場合があります 閉域網などスキャナからアップロードできない環境でも脆弱性検知・管理が可能に
インターネットから隔離された環境 スキャナプログラムをサーバにインストールできない環境 のような、これまで FutureVuls のスキャナの導入が難しかった環境をサポートします。 サーバ上でいくつかのコマンドを実行し、結果を FutureVuls 画面上にペーストするだけで登録完了です。 以下のステップで簡単に登録できます。 「PASTE サーバ追加」ボタンを押下 サーバ名を入力 OS の種類を選択 OS のバージョン情報をペースト 実行中のカーネルリリースの情報をペースト インストールされたパッケージリストをペースト 「PASTE サーバ追加」ボタン サーバ名・OS の種類などを入力・ペースト インストールされたパッケージリストをペースト 登録後は画面上から 手動スキャン することで、実機にアクセスすることなく、新規公開された脆弱性を検知可能です。 CSIRTプラン のオーガニゼーションは一日に複数回定期スキャンされるため、画面上から手動スキャンする必要はありません。 定期スキャンのタイミングで新規に検知された脆弱性は 自動トリアージ されます。 該当サーバのパッケージをアップデートして構成情報を変更した場合は、サーバ詳細画面内のサーバ情報 >「編集」ボタンから更新してください。 次回のスキャンでは、更新された構成情報を元に検知処理が実行されます。また、パッケージアップデートにより解消されたタスクは「Patch_Applied」ステータスに自動変更されます。 2021年5月現在、Paste サーバは以下の OS をサポートしています。 RHEL CentOS Amazon Linux Ubuntu Debian 「スキャナ経由で登録したサーバ」の定期スキャンで、よりクイックな脆弱性対応が可能に
本機能は CSIRT プランのみ対象です これまでは「スキャナ経由で登録したサーバ」の検知処理は、サーバ上でスキャナを実行し構成情報を FutureVuls にアップロードしたタイミングで実行されていました。 本リリース以降、より頻繁に検知処理が実施されるようになり、新規公開された脆弱性をより早く検知できるようになりました。 「スキャナ経由で登録したサーバ」の検知処理の実行タイミングは以下となります。 実サーバ上でスキャナ実行時 一日数回の定期スキャン時 定期スキャン処理では、実サーバの構成情報ではなく、FutureVuls に登録済みの構成情報を用いて検知されます。 OS パッケージをアップデートした場合は実サーバ上でスキャナを実行し、最新の構成情報を FutureVuls にアップロードする必要がありますのでご注意ください。 Oracle Linuxに対応
本機能を利用するためには スキャナの更新 が必要です。 Oracle Linux 6, 7, 8をサポートしました。 ※ Oracle Linux 8の dnf module の脆弱性検知は2021年5月21時点では未対応です。 スキャン履歴の警告メッセージダイアログの追加
グループ設定内のスキャン履歴に警告メッセージがある場合に、アイコンをクリックするとダイアログで詳細が表示されるようになりました。 信頼度の低い攻撃コードを信頼度の高い攻撃コードの補足情報として表示
信頼度の高い攻撃コードがある場合に信頼度の低い攻撃コードを補足情報として表示されるようになりました。 CVSSの選択タブのデフォルトを存在するものに変更
脆弱性情報の詳細画面を開いた際に、情報のある CVSS ベクターのタブをデフォルトで選択するようにしました。 その他
いくつかのバグを修正しました。
security2021-04-16
2021-04-16 リリース内容
本リリースの機能を利用するためには スキャナの更新 が必要です。 FutureVuls としては以下の理由でスキャナの定期更新をおすすめします。 古いスキャナでは最新機能が利用できないケースあり バグフィックスは 最新版にのみ適用 される Linuxスキャナの動作を柔軟に指定可能に
スキャナの動作が config.toml で指定可能になりました。 WordPress の脆弱性は検知したいが OS パッケージの脆弱性は検知したくない サーバに配備されているライブラリの脆弱性のみ検知したい ポート接続チェックはしたくない など、環境や用途に合わせてスキャナの動作を柔軟に制御できます。 詳細は 設定>スキャンモジュールの変更 を参照してください。 Linuxスキャナが出力するファイルの改廃処理が不要に
これまでの Linux スキャナは、スキャナが配備されたサーバ上に以下のファイルを生成していたため、定期的な改廃処理が必要でした。 今回のアップデートでデフォルトの動作を変更し、以下のファイルが生成されなくなりました。 /opt/vuls-saas/results に結果の JSON ファイル /var/log/vuls にログファイル もし以前のようにファイルを出力したい場合は以下のオプションをつけて実行してください。 結果 JSON ファイルは ./vuls-saas.sh --debug ログファイル出力は、 ./vuls-saas.sh --log-to-file Linuxスキャナのconfig.tomlを上書きしないように変更
これまでは、スキャン実行のたびに config.toml を上書きしていました。このため root ユーザで ./vuls-saas.sh コマンド実行すると config.toml 所有者が root 権限に変更されます。この状態で CRON 定期ジョブが実行されると、 vuls-saas ユーザで実行しようとして config.toml 書き込みの権限エラーでスキャンが失敗する、というケースがありました。 参考: FAQ > scan-logにpermission-deniedと出力されscanできない 最新版のスキャナでは、初回スキャン時に UUID が新規発番されるときのみ config.toml を上書きします。それ以降 config.toml は上書きしません。
security2021-04-08
2021-04-08 リリース内容
今回のリリースでは以下を変更しました。 オーガニゼーション一括スキャン
オーガニゼーション内に登録されている全サーバを一括で手動スキャンすることが可能になりました。 最新スキャン時のパッケージ情報を用いるため、実機にはアクセスしません。 例えば、自動トリアージ設定(CSIRT オプション限定)を登録後に、すべてのサーバに更新したルールを適用させるときなどに便利な機能です。 なお、オーガニゼーション一括スキャンは一度実行すると、1時間は再実行できません。 最終一括スキャン日時を確認の上、1時間経過後に再スキャンを実行してください。 ※ 一括スキャンは本リリース後に一度でもスキャンが実行されたサーバのみ実行されます。 グループ一括スキャン
グループ内に登録されているサーバを一括で手動スキャンすることが可能になりました。 制約などはオーガニゼーション一括スキャンと同じです。 タスク一覧画面のタブに件数を表示
タスク一覧ページのタブにそれぞれのタブで表示されるタスクの件数を表示しました。 各タブの件数の関係性は 未対応 + 対応中 + 対応済み = すべて となります。 これにより、脆弱性一覧と同様に、タスクのステータス遷移をタブの件数で把握できるようになりました。 脆弱性詳細ページの一次情報ソースを拡充
以下の情報が表示されるようになりました。 ベンダのサポートページ URL 本家 bugzilla の URL パッチの GitHub URL など 脆弱性一覧の自動更新
脆弱性一覧グリッドに表示される脆弱性情報が自動更新されるようになりました。 以前は、スキャンのタイミングで脆弱性情報を最新化していましたが、スキャンしなくても自動で更新されます。 脆弱性情報は自動で最新化されますが、検知処理はスキャン時に実行されるという点は変わりません。長期間スキャンしないと新規公開された脆弱性は検知されず、画面には表示されない点は変更ありませんので、ご注意ください。 タスク一括非表示時のメール通知にコメントを追加
タスクの一括非表示時のコメントがメール通知に記載されます。 タスク一括編集時のメール通知を新旧担当者のみに送信
タスクの一括編集時に、新旧の主担当と副担当者にメール通知します。 重要な脆弱性が検知された場合にSlack通知でメンション可能に
Slack の Profile 内ある memberID を FutureVuls の slack 連携ページで追加すると、重要な脆弱性が検知された時のみ、対象のユーザへのメンションできます。 AWS設定を複数グループ間で利用可能に
グループの設定 > AWS 連携にて、1つの AWS アカウントを複数のグループに対して設定可能になりました。 初回設定時は CloudFormation の実行が必要ですが、2つ目以降は FutureVulsExternalID を入力することで cloudformation の実行をスキップできます。 スペシャル警戒タグに判断日を設定可能に
本機能は CSIRT プランのみ対象です スペシャル警戒タグの登録時に判断日が追加できる様になりました。 スペシャル警戒タグの再通知が可能に
本機能は CSIRT プランのみ対象です すでに登録済みのスペシャル警戒タグを再通知できる様になりました。 Deep Security as a ServiceからCloudOneへ表記変更
Trend Micro Deep Security as a Service (以下、DSaaS)から Trend Micro Cloud One Workload Security への名称変更に伴い、FutureVuls でも CloudOne という表記に変更しました。 CloudOne連携の認証方法をAPIキーに統一
本リリース以前まで、CloudOne の認証情報はパスワード認証と API キーの認証の両方を設定する必要がありましたが、API キーのみで連携可能になりました。(FutureVuls 画面上に設定されていた DSaaS の暗号化されたパスワードは物理削除済みです) 設定方法は こちら を参照してください。 CloudOne連携を手動実行可能に
CloudOne連携 はスキャン後に自動実行されていましたが、今回のリリースで画面から手動実行できるようになりました。連携に失敗したときのみメール通知されます。 CloudOne連携設定で、機能のON OFFを設定可能に
CloudOne連携 には、 侵入防御ルール最適化機能 検知した CVE が CloudOne の IPS のルールで検出または防御されているかを表示 という2つの機能がありますが、それぞれの機能の ON OFF を切り替え可能になりました。 その他
いくつかのバグを修正しました。
security2021-01-28
2021-01-28 リリース内容
今回のリリースでは以下を変更しました。 WordPressの脆弱性検知が可能に
本機能は Linux スキャナのアップデートが必要です(v0.15.5以上)。バージョン確認方法は こちら サーバにインストールされている WordPress コア、プラグイン、テーマの一覧を自動取得し、脆弱性を検知できるようになりました。 WordPress 関連だけで2万件以上の脆弱性情報を持つ wpscan.com の脆弱性データベースを利用します。 本機能は、まず WordPress が稼働する OS 上にて wp コマンドを実行し、WordPress コア、プラグイン、テーマの完全なバージョンリストを取得します。この完全なリストを元に検知するため、ネットワーク型のスキャナ(シグニチャから推測する方式)よりも高精度の検知が可能です。また、擬似攻撃は行わない非破壊型スキャンのため本番サイトに影響を及ぼしません。 詳細は ヘルプ を参照ください。 OSのEOL(End Of Life)を確認可能に
サーバ詳細画面で OS のサポート期限が確認できるようになりました。 画面上から手動スキャン可能に
2021年1月28日以降にスキャンされたサーバが対象です。 これまで、手動スキャンは 擬似サーバ でのみ可能でしたが、「スキャナ経由で作成されたサーバ」でも手動スキャンできるようになりました。 画面上から手動スキャンすることで、その時点の最新の脆弱性データベースを用いて検知処理が再実行され、脆弱性情報が最新化されます。 手動スキャンでは「 実サーバ上のスキャナは実行されません 」。 前回アップロードされた情報(OS パッケージ情報など)を用いて再スキャンします。 このためパッケージを更新した、などのサーバの構成情報を変更した場合は、手動スキャンではなくスキャナを実行してアップロードする必要があります。 攻撃コード、回避策、一次情報の情報ソースを強化
攻撃コード、緩和策、一次情報の情報ソースを強化しました。 RHEL8のdnf moduleに対応
本機能は Linux スキャナのアップデートが必要です(v0.15.5以上)。バージョン確認方法は こちら RHEL8から導入された、dnf module の脆弱性検知をサポートしました。 dnf module の参考情報: RHEL8ドキュメント 脆弱性管理の対象外のソフトウェアを一括設定可能に
本機能は CSIRT プランのみ対象です FutureVuls には、脆弱性管理の対象外のソフトウェアを設定できる機能があります。管理対象外として設定されたソフトウェアについて、スキャン時に初めて検知された脆弱性のタスクと、タスクステータスが NEW のままになっている既存のタスクは、自動的に非表示に設定されます。 これまでは、サーバ単位で ソフトウェア管理対象を設定 しなければならず、大規模環境での設定が大変でした。 今回のリリースでは、ソフトウェアをグループ横断で検索し、複数選択して一括で管理対象外として設定できるようになりました。 グループセット > ソフトウェア からご利用いただけます。 自動Dangerを一括で解除可能に
本機能は CSIRT プランのみ対象です 自動Danger機能 で設定された Danger を一括解除できるようになりました。 初期設定時に間違えて大量の Danger がついてしまった場合にご利用ください。 オーガニゼーション設定 > 自動トリアージ設定 からご利用いただけます。 本操作は取り消し不可能なのでご注意ください。 トピック投稿時に付与された Danger は、解除対象外です。 トピック作成のメール通知機能
トピック新規作成時に、投稿対象のオーガニゼーションやグループのメンバにメールを送信できます。Danger な脆弱性の注意喚起や、対応状況を他グループに共有する場合などにご利用ください。 トピック更新とコメントは対象外です。 トピックについては ヘルプ を参照ください。 その他
いくつかのバグを修正しました。
security2020-12-17
2020-12-17 リリース内容
今回のリリースでは以下を変更しました。 ログイン状態の保持期間を延長
ログイン状態を保持する期間が大きく延長されました。再ログインする手間が減り、より快適にご利用いただけます。 ページ読み込み速度の改善
脆弱性一覧ページなどの読み込み速度を大幅に改善しました。 その他
いくつかのバグを修正しました。
feature2020-12-04
2020-12-04 リリース内容
今回のリリースでは以下を変更しました。 FutureVulsにアップロードしない情報を設定可能に
本機能は Linux が対象です。 スキャナバージョン「v0.13.9」以上にアップデートして下さい。 FutureVuls にアップロードしない情報を設定ファイルで定義可能になりました。 2020年7月17日のリリース では Windows のみの対応でしたが、今回のリリースで Linux にも対応しました。 config.toml の IgnoredJSONKeys に JSON の key を配列形式で定義してください。 サンプル:スキャン対象サーバの IP アドレスとスキャナの IP アドレスをアップロードしない設定 [Servers] [servers.dev] user = "vuls-saas" host = "localhost" port = "local" scanMode = [ "fast-root" ] ignoredJSONKeys = [ "scannedIpv4Addrs" , "ipv4Addrs" ] [servers.dev.uuids] dev = "xxxxxx" ignoredJSONKeys に指定する key の確認方法を説明します。 /opt/vuls-saas/vuls-saas.sh を実行すると /opt/vuls-saas/results 以下に json ファイルが生成されます。 この JSON ファイルが FutureVuls にアップロードされます。 JSON を直接参照し、アップロードしない情報の key を config.toml に定義してください。 なお、json ファイルの第1階層のキーのみ指定可能です。第2階層より深いキーは指定できません。 Windows Scannerのプロキシ バイパスリストを指定可能に
本機能は Windows が対象です。 スキャナバージョン「v0.1.11」以上にアップデートして下さい。 適用されいない KBID を取得するために、Vuls は Windows Update API を実行しています。 プロキシを経由して Windows Update を実行する場合はインターネットオプションではなく WinHTTP のプロキシ設定が必要です。Vuls は config.toml に指定されたプロキシ情報をスキャン時に自動で設定します。 今回のリリースで WinHTTP のプロキシ バイパスリストを config.toml で指定できるようになりました。 例) [Servers] [Servers.localhost] Host = "localhost" UUID = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX" [Proxy] ProxyURL = "proxy.contoso.com:8080" BypassList = "localhost;*.contoso.com" 詳細は Windowsのプロキシ設定 を参照して下さい。
security2020-10-30
2020-10-30 リリース内容
今回のリリースでは以下を変更しました。 DailyReport Slack通知機能
Slack 外部連携を設定すると24時間以内に新たに検知した脆弱性を DailyReport として Slack に通知する機能を追加しました。 Slackとの連携方法
Slack に新しい Webhook を追加し、Webhook URL を取得します。 (参考) FutureVuls のグループ設定から、 外部連携 > Slack をクリックし、追加ボタンを押して取得した URL を入力します。 設定した Slack チャネルに対して Daily Report が送信されます。 新規検知数ゼロの日は通知されまません。 攻撃コードの信頼度を表示
脆弱性・タスクの一覧ページや脆弱性の詳細ページに表示していた「攻撃コード」に攻撃コードの信頼度を表示するようにしました。 Metasploit Framework に組み込まれた攻撃コードは「信頼度:HIGH」として表示します。ExploitDB や GitHub リポジトリから収集した攻撃コードの情報は「信頼度:低」として表示しています。 また今回のリリース以前の情報は信頼度;不明として表示されますが、再度スキャンすることで信頼度(H or L)の情報が付与されます。 攻撃コードの信頼度をトリアージ条件に指定可能に
FutureVuls では CVSS や注意喚起有無などの条件を事前設定しルールベースで自動トリアージする機能がありますが、今回のリリースで攻撃コードの信頼度を条件として指定可能になりました。 重要フィルタ 自動Danger 自動非表示 (CSIRT プラン) ※ 自動 Danger と自動非表示は CSIRTプラン の機能です。 これにより例えば以下のようなルールを柔軟に設定できるようになりました。 「攻撃コード(信頼度 High)がある」かつ、 「NW から攻撃可能」かつ、 「権限なしで攻撃可能」かつ、 「CVSS が9.0以上」かつ、 「JPCERT 注意喚起の対象」 な脆弱性は Danger フラグを自動でつける 監査ログのメソッド名を日本語化
本機能は CSIRT プランのみ対象です ユーザの操作履歴を表示する監査ログ画面をアップデートしました。 これまでリクエストしたメソッドの名前を API 名で表示していましたが、メソッドを日本語で表示するように変更し操作内容がよりわかりやすくなりました。 データの表示は月単位で切り替え可能となっており、左上の月を選択すると過去の操作ログを確認できます。 スペシャル警戒タグ登録時にメールで送信可能に
本機能は CSIRT プランのみ対象です 2020年9月4日のリリース で脆弱性に独自の警戒タグを設定できるようになりましたが、今回のアップデートでスペシャル警戒タグ登録時にオーガニゼーション所属のメンバに対してメール通知できるようになりました。 なお、ノイズ削減のため対象の脆弱性を検知していないグループのメンバにはメール通知されません。 その他
リスト表示ページを最適化し表示時間を短縮化しました。 設定ページの一部レイアウトを調整しました。
security2020-09-04
2020-09-04 リリース内容
今回のリリースでは以下を変更しました。 監査ログ機能を追加
本機能は CSIRT プランのみ対象です オーガニゼーションに所属しているユーザの操作履歴を表示、CSV ダウンロードできるようになりました。 オーガニゼーションに所属しているユーザの操作履歴を表示できます。 データの表示は月単位で切り替え可能となっており、左上の月を選択すると過去の操作ログを確認できます。 また、矢印アイコンをクリックすることで CSV 形式にてダウンロード可能です。 取得、表示できる項目は以下の通りです。 項目名 説明 ステータス リクエストが成功したか失敗したかを表示(SUCCESS, ERROR) エラーメッセージ リクエストにエラーが発生した時のエラーメッセージ グループセット名 グループセット名(グループセットの操作をした場合のみ表示) グループ名 グループ名(グループの操作をしたときのみ表示) リクエスト日時 リクエストをした日時 ユーザ名 リクエストしたユーザ名 IPアドレス リクエストしたユーザのIPアドレス エンドポイント リクエストしたメソッドの名前 パラメータ リクエストしたパラメータの名前 注意点は以下のとおりです。 パラメータが長い場合テーブル上ですべての表示ができないため、セルコピーを利用するか、CSV ダウンロードして内容を確認してください パスワード等の機密情報はマスキングされて表示されます ログイン、ログアウトはオーガニゼーション外の操作となるため、オーガニゼーションの操作ログとしては残りません オーガニゼーション設定のメンバ一覧に二要素認証の有無とメール検証の有無の項目を追加
オーガニゼーション一覧で、所属しているユーザの二要素認証の設定有無とメール検証の有無を確認する項目を追加しました。 二要素認証の設定有無とメール検証の有無はその都度確認しているわけではなく、バックエンドで定期的にチェックしており、その内容が反映されます。 したがって、ユーザが設定を変更して即座に反映されるわけではありません。 スペシャル警戒タグ機能を追加
本機能は CSIRT プランのみ対象です 脆弱性情報に対して、独自の警戒タグを設定できるようになりました。 自組織で定めるオリジナルな警戒度情報を CVE-ID に紐づけすることで、タグごとの脆弱性管理が可能です。 警戒タグはオーガニゼーション単位で管理されます。 スペシャル警戒タグの管理は、オーガニゼーション設定のページから行えます。 特定のタグが着いた脆弱性一覧を表示したり、 特定の期間にタグが登録された脆弱性一覧を表示したりできます。 スペシャルタグ登録日時を範囲指定でフィルタする方法
まず、登録日時カラムの日時入力欄の右側にあるアイコンをクリックします。 検索方法を「範囲で指定」に切り替え、「開始日」と「終了日」を入力すれば、指定の範囲内に登録されたタグのみが表示されます。 ※「終了日」で指定した日に登録されたタグは 範囲外 になります。 Exploit情報源に新たにMetasploitを追加
検知した脆弱性を突く PoC や Exploit がインターネットに公開されると、攻撃されるリスクが高くなります。 FutureVuls はこれまでも、検知された CVE-ID に PoC, Exploit が公開されているかを表示していました。 今回のリリースで GitHub 上の metasploit-framework を新たな情報源として追加しました。 CPEダイアログチューニング
CPE 追加画面ダイアログの CPE 名入力補完ロジックを変更しました。 CPE 名の入力時に該当 CPE の検索を高速化し、スペース区切りでの絞り込みができるようになりました。 テキストメールへの対応
Vuls の通知メールをテキストメールに対応しました。 今までは HTML メールのみの対応となっていましたが、今回のリリースでテキストメールの形式にも対応しました。 不具合修正
linux scannerのバグフィックス
スキャナの更新が必要です。 Red Hat 系の kernel-devel のバージョンが複数インストールされている場合に、 実行中カーネルではないバージョンのものが選択されてしまうという不具合を解消しました。 不具合を解消するためには、 スキャナの更新 が必要です。 ほかいくつかのバグを修正しました。
security2020-08-07
2020-08-07 リリース内容
今回のリリースでは以下を変更しました。 スキャナのバグフィックス
Ubuntu Linux 上で稀に FutureVuls にスキャン結果をアップロードできない問題がありましたが今回のリリースで解決されました。 該当する方は スキャナの更新 を参考にしてスキャナを最新版に更新して下さい。 各スキャン対象上のスキャナのバージョンは グループ設定 > スキャン履歴 より確認可能です。 タスクタブの改良
タスク のタブ順番を脆弱性ページと同様に、対応の時系列順に並べました。 また、「新着」タブを廃止し、「対応中」タブを追加しました。 タブ名 取得するタスク 未対応 ステータスがNEWで、かつ、非表示設定されていないタスク一覧 マイタスク 対応済ではなく、かつ、主担当または、副担当に自分が設定されているタスク一覧 対応中 対応済みではない、かつ、未対応でもないタスク一覧 期限切れ 対応済みではない、かつ、対応予定日が過去のタスク一覧 対応済 「ステータスが WORKAROUNDまたはPATCH_APPLIED」または、非表示設定されているタスク一覧 すべて すべてのタスク一覧 タスクリストにDanger列とサーバタグ列を追加
脆弱性の Dangerフラグ と、 サーバタグ をタスクリストに表示するように変更しました。 これにより例えばタスクタブにて「Danger」な脆弱性かつ「機密情報あり」タグを設定中のサーバのタスクをフィルタし、タスクステータスを変更するといった操作が可能となりました。 自分のタスクコメントを削除可能に
自分が登録したタスクのコメントを削除できるようになりました。 不具合修正
その他複数の不具合を修正しました。
security2020-07-29
2020-07-29 リリース内容
今回のリリースでは以下を変更しました。 担当者のインクリメンタルサーチが可能に
FutureVuls では登録されたサーバや検知された脆弱性のタスクに担当者を設定できます。 今回のリリースでは担当者をインクリメンタルサーチで絞り込んで設定可能になりました。 数十人が所属するグループでも、担当者に設定したいユーザをすぐに設定できるようになりました。 「サーバ」>「脆弱性×タスク」へ Microsoftのスコアを追加
これまで「脆弱性」一覧にのみ表示していた Microsoft のスコアを「サーバ」>「脆弱性×タスク」内にも追加しました。 前回追加した windows資産管理機能強化 とあわせてご利用ください。 PublicAPIのURLが一部変更されました
health の API URL が "https://rest.vuls.biz/v1/health" から "https://rest.vuls.biz/health" へ変更されました。 不具合修正
第1ペインのリストを検索してから第2ペインを閉じた場合に、画面で表示される件数がリセットされる問題を含めて、画面上の不具合を修正しました。
security2020-07-17
2020-07-17 リリース内容
今回のリリースでは以下の変更が入りました。 Windows資産管理機能強化
FutureVuls の Windows 用スキャナは Windowsに未適用のKB に含まれる CVE-ID の検知と管理が可能です。 今回のリリースでは KB の検知に加えて資産管理系の機能が強化されました。 インストール済みのアプリや KB を サーバ > ソフトウェア で参照可能に インストール済みのアプリや KB の グループ横断検索 が可能に WSUS 配下の Windows PC の KB も検知可能に FutureVuls にアップロードする情報をカスタマイズ可能に results フォルダ(検知結果格納用)を自動掃除 今回のリリースは Windows PC のみが対象であり、Linux 用のスキャナのアップデートは必要ありません。 本機能を利用するためにはWindows用スキャナを v0.1.8 以上にアップデートして下さい。 Windows用スキャナのアップデート手順、バージョンの確認方法は スキャナ を参照して下さい。 インストール済みのアプリやKBをサーバ>ソフトウェアで参照可能に
本機能は Windows が対象です。 FutureVuls 管理対象の Windows PC にインストール済みのアプリや KB は サーバ > ソフトウェア に表示されます。自分でインストールしたアプリも表示されます。 インストール済みの KB も表示されます。 インストール済みのアプリやKBのグループ横断検索が可能に
本機能は CSIRTプラン のオーガニゼーションのみ利用可能です。 本機能は Windows が対象です。 これまでの CSIRT > グループ横断検索 では Linux のパッケージや CPE, アプリケーション依存ライブラリがソフトウェア検索の対象でしたが、今回のリリースで Windows PCにインストール済みのアプリやKBも検索可能 になりました。 この機能は以下のようなケースで役に立ちそうです。 ある朝、自宅でネットニュースを見ていたセキュリティ部門所属のあなたは、あるWindwos用人気アプリにCVE-ID未割り当て状態の高リスクな脆弱性が公開されたことを知ります。 脆弱性情報を調査したところ危険な脆弱性でPoCも公開されており攻撃も観測され始めているため一刻も早いアップデートが必要なようです。 この人気のアプリは社内でよく使われていますが、どのPCにインストールされているかはわかりません。 あなたは全社員にアプリをアップデートするようにメールを送付します。 その後、社員がメールを見たかどうか、また本当にアップデートしたどうか、それは誰にもわかりません。。。 今回のリリースでは上記のようなケースで真価を発揮します。 FutureVuls 画面上からソフトウェア名を横断検索することで、組織内で影響のある PC やインストールされているバージョンを瞬時に把握し、その後の対応を素早く行うことが可能となります。 また後日、アップデートせずに放置している PC を特定できるため、注意喚起後の対応状況の追跡にも役に立つ機能です。 WSUS配下のWindows PCのKBも検知可能に
本機能は Windows が対象です。 これまでの FutureVuls はインターネット上の Windows Update を参照していたため、Local ネットワークの WSUS 配下にある Windows PC で未適用な KB の一覧を取得できませんでした。 今回のアップデートから config.toml の設定をすることで、Local ネットワーク上の WSUS を参照して未適用な KB を検知することが可能となりました。 Windows Update のアクセス先を変更する場合は、config.toml の WinUpdateSrc を以下のように設定して下さい。 インターネット上の Windows Update は"2"を指定(デフォルト) [Servers] [Servers.localhost] Host = "localhost" UUID = "xxx-xxx-xx" WinUpdateSrc = "2" Local の WSUS は"1"を指定 [Servers] [Servers.localhost] Host = "localhost" UUID = "xxx-xxx-xx" WinUpdateSrc = "1" FutureVulsにアップロードしない情報を設定可能に
本機能は Windows が対象です。 config.toml の IgnoredJSONKeys に JSON の key を配列形式で定義してください。 サンプル:インストール済みのアプリ一覧をアップロードしない設定 [Servers] [Servers.localhost] Host = "localhost" UUID = "xxx-xxx-xx" IgnoredJSONKeys = [ "packages" ] config.toml に指定する JSON キーは以下の手順で確認して下さい。 debug フラグを付けて vuls.exe を実行 C:\Program Files\vuls-saas>vuls.exe -debug results 以下に作成された json ファイルをエディタで確認する resultsフォルダ(検知結果格納用)を自動掃除
本機能は Windows が対象です。 これまでは C:\Program Files\vuls-saas\results\ フォルダ以下に検知結果の JSON を残していましたが、今回のリリースによりスキャン終了時にデフォルトで削除するようにしました。results 以下にファイルを残したい場合は、 -debug フラグをつけて実行して下さい。 C:\Program Files\vuls-saas>vuls.exe -debug
security2020-07-03
2020-07-03 リリース内容
今回のリリースでは以下の変更が入りました。 アプリケーション依存ライブラリの脆弱性スキャン機能強化
本機能を利用するためには FutureVuls のスキャナを v0.10.0 にアップデートする必要があります。 アップデート手順、バージョンの確認方法は スキャナ を参照して下さい OS パッケージの脆弱性だけではなく、アプリケーション依存ライブラリの脆弱性も日々公開されており、リスクの高いものはスピーディーに対応していく必要があります。 FutureVuls ではこれまで以下の方法で 依存ライブラリの脆弱性検知 をサポートしていました。 GitHub Security Alerts連携 CPEを指定する機能 今回のリリースにて、サーバ上に配置されている Lockfile のパスを指定して依存ライブラリの脆弱性をスキャンすることが可能となりました。 2020年7月3日時点でスキャン可能な Lockfile は以下の通りです。(Java は GitHub Security Alerts連携 をご利用下さい) Lang lockfile Ruby Gemfile.lock Python Pipfile.lock, poetry.lock PHP composer.lock Node.js package-lock.json, yarn.lock Rust Cargo.lock 本機能はローカルスキャン、リモートスキャンの両方に対応しています。 ローカルスキャンの動作
config.toml に、スキャン対象の LockFile のパスを指定します。scan 時に指定されたパスの Lockfile を解析し依存ライブラリのリストを取得します。 リモートスキャンの動作
config.toml に、スキャン対象サーバ上の LockFile のパスを指定します。scan 時に SSH で接続したリモートサーバの指定したパスの Lockfile を解析し、依存ライブラリのリストを取得します。 設定方法
/opt/vuls-saas/config.toml に lockfile のパスを指定して下さい。 [ servers ] [ servers.sample ] user = "vuls-saas" host = "localhost" port = "local" findLock = true
[ "/home/user/lockfiles/package-lock.json" , "/home/user/lockfiles/Gemfile.lock" , "/home/user/lockfiles/yarn.lock" ] スキャン後のパッケージは、OS パッケージ同様、ソフトウェアとタスクに表示される 本機能を利用するためには FutureVuls のスキャナを v0.10.0 にアップデートする必要があります。 アップデート手順、バージョンの確認方法は スキャナ を参照して下さい trivy連携の改良
CI/CD パイプラインでの Docker イメージのスキャンが可能な trivy連携 でスキャンした場合に、Docker イメージ内の依存ライブラリ情報が画面で表示されるようになりました サーバ一覧に補足情報を表示可能に
サーバ詳細画面にて、サーバの任意の補足情報を登録可能となりました。 追加された補足情報はサーバ一覧と詳細ページにて確認できます。 サーバ一のタグを一括登録可能に
サーバ一覧にて複数選択後、「サーバを編集」ボタンよりサーバタグを一括登録可能になりました。 バグフィックス
グループ設定のスキャン履歴でスキャナのバージョンが取得できていない問題を修正 スキャンの履歴にて、スキャナのバージョンが取得されていない問題があったので、修正しました。 今後のスキャンではスキャナイメージが表示される様になります。
security2020-05-15
2020-05-15 リリース内容
今回のリリースでは以下の変更が入りました。 自動Danger,自動非表示の条件にサーバタグを指定できるように
※こちらは CSIRTプラン の機能です 今まで: 自動 Danger と自動非表示はオーガニゼーションの全サーバに対して適用されていた。 これから: 自動 Danger と自動非表示の条件にサーバタグを指定できるように サーバタグフィルタにより柔軟な自動トリアージが可能となっています。 これにより、例えば 「社内システム」タグがつけられているサーバの、 ネットワークから攻撃されない 脆弱性は、リスクが低いとみなして自動で非表示にすることが可能となります。 また、逆に 「個人情報」タグがつけられているサーバの、 ネットワークから攻撃される脆弱性かつ、 Red Hat の CVSS が9以上かつ、 JPCERT/CC, US-CERT の注意喚起情報に掲載さている 脆弱性は、リスクが高いとみなして自動で Danger にする などが可能となります。 自動非表示が既存のタスクにも適用されるように変更
今まで: 自動非表示は 新しく検知されたタスク にのみ適用されていた。 これから: 自動非表示は ステータスがNEWのタスク に適用される。 AWS EC2タグ連携
今まで: AWS の EC2タグを設定する場合は FutureVuls 上のサーバタグを手動設定 これから: AWS の EC2タグを FutureVuls のサーバタグに自動設定 外部設定で AWSの認証情報 を設定している状態で、AWS で管理されているサーバをスキャンした時、 EC2のタグをそのまま FutureVuls のサーバタグとして設定するようになりました。 例えば、AWS 上で Key: ENV , Value: 本番 と設定してあった場合、 ENV:本番 というサーバタグが自動で付与されます。 これにより、EC2タグを用いて運用されている現場において、 FutureVuls のサーバタグにも自動で連携が可能となり、 自動トリアージルールの設定を簡略化できるようになりました。 なお、AWS EC2からタグを削除しても FutureVuls のサーバタグは削除されません。 EC2のタグの中から FutureVuls のサーバタグにないものを追加するという仕様です。 サーバタグの文字数増加
今まで: サーバタグは20文字 これから: サーバタグは400文字
security2020-03-30
2020-03-30 リリース内容
今回のリリースでは以下の変更が入りました。 コンテナイメージスキャン機能の追加
FutureVuls 上で Amazon ECR と Google Container Registry 上のコンテナイメージに含まれる脆弱性を管理可能になりました。 AWS, GCP の連携設定をすると、毎日1回、自動でスキャンを実施します。また、画面上から「手動スキャン」も可能です。 詳細は ヘルプページ を参照ください。 なお、上記 ECR, GCR 連携機能の対象はコンテナに含まれるパッケージのみが対象です。 コンテナイメージに含まれるアプリケーションライブラリの脆弱性は 外部連携 GITHUB SECURITY ALERTS での検知がおすすめです。 一覧表示処理の最適化
タスクや脆弱性の一覧表示部分についての処理を最適化しました。 データの読み込みと表示部分のロジックを改善し、多数のタスクがある場合でも、すべてのタスクを読み込み終えるまでの時間が大幅に短縮しました。
security2019-12-17
2019-12-17 リリース内容
今回のリリースでは以下の変更が入りました。 コンテナイメージスキャン機能の追加
今回のリリースでコンテナイメージのスキャンが実行できるようになりました。 外部連携をすることで、Amazon ECR に存在するプライベートイメージのスキャンも可能です。 また、パッケージなどの脆弱性スキャン以外に、 Dockle によるコンテナイメージのチェックも可能です。 これによりコンテナイメージの作成方法やセキュリティリスクを、従来とは別の角度からチェックできます。 自動で最新のイメージをチェック
Docker Registry API を利用することにより、最新のタグを自動で取得し、動的に最新のイメージのチェックが可能になります。 そのため、CI/CD のスピードが速い現場でも導入しやすくなっております。 特定のバージョンだけをスキャンしたい場合は、タグを指定してスキャンすることも可能となっています。 スキャンの頻度
毎日1回自動スキャンが実行されます。 手動でオンデマンドに実行できる「手動スキャン」も可能です。 詳細は ヘルプページ をご確認ください。
security2019-10-11
2019-10-11 リリース内容
今回のリリースでは以下の変更が入りました。 CSIRT向けプランの追加
社内全体の脆弱性管理を担当する CSIRT 向けのプラン(以下、CSIRT プラン)を追加しました。 CSIRT プランでは部門やグループ会社のシステム群に潜在する脆弱性を横断的に把握・トリアージ・対応依頼・対応状況の追跡などをサポートする機能を搭載しています。 CSIRT プランは最低台数100台からの契約となり、年間サブスクリプション料金は300万円です。 大規模導入の場合は、通常の一台月額4,000円プランよりも1台あたりの料金を抑えられます。 ボリュームディスカウントの相談・オンラインデモ・訪問説明など可能ですのでお問い合わせ下さい。 グループセット(CSIRTプラン)
これまでは運用者がそれぞれのグループで単一システム内の脆弱性を効率的に管理・対応するという思想で作っていました。 しかしながら、規模の大きいシステム群を管理する方々から「複数グループをより効率的に管理したい」というお声をいただいておりました。 そこで、複数のグループをまとめた「グループセット」ごとに脆弱性を管理する機能を開発し、複数グループの脆弱性を1画面で横断的に管理しやすくなりました。 CSIRT プランではトリアージ方針が似ているグループを同一のグループセットでまとめることで CSIRT はトリアージと対応指示を効率的にできるようになります。 例えば 社内システム用グループセットは機密性、完全性は重視するが可用性は重要視しない B2C 事業を提供する子会社のグループセットはサービス停止すると大損害なので可用性を重視する必要があるので DoS 系脆弱性も対応する などといったようにシステムの特性に応じたグループセットを作成し、特性に応じたトリアージを行えるようになります。 脆弱性タブ(CSIRTプラン)
グループセットに含まれる脆弱性を一覧表示します。 CSIRT がグループセットに含まれる脆弱性への対応が必要かを確認、リスクを許容可能な脆弱性は「関連するタスクを非表示」することで、 グループセット内の複数グループのタスクを横断して非表示にできます。 CSIRT が低リスクな脆弱性を一括で非表示することで、運用者にはリスクの高い脆弱性のみを表示し、対応を依頼できます。 それぞれの脆弱性に対して、詳細情報・CVSS ベクター・攻撃コードの有無・警戒情報などがまとめられた「詳細タブ」、調査した内容を掲示板のように投稿する「トピック」タブ、脆弱性を含むサーバを確認できる「タスク×サーバ」タブが用意されています。 また、グループセットごとに重要フィルタを設定できます。 重要フィルタはスコア・CVSSv3ベクター・JPCERT/CC, US-CERT の注意喚起情報の有無を AND 条件で指定できますので、たとえば「Red Hat の CVSS スコア9以上かつ Network から攻撃可能なもの」や「権限なしで攻撃できるかつ、可用性に影響のあるもの」といった条件をグループセットの特性に応じて指定してください。 ソフトウェアタブ (CSIRTプラン)
グループセット内のソフトウェアをソフトウェア名で横断検索できます。 curl や ruby などで検索すると関連するソフトウェアが表示され、それぞれのソフトウェアがインストールされているサーバ、バージョン情報、アップデートの有無、脆弱性情報一覧などが確認できます。 ユースケースとしては、まだ CVE-ID が発番されていない脆弱性情報がニュースなどで流れてきたときに、自社に該当ソフトウェアがあるかや、そのバージョンチェックを横断して調査したいケースで便利です。 自動トリアージ(CSIRTプラン)
一定の基準に当てはまる脆弱性を自動的に Danger 指定する「自動 Danger」と、逆に一定以下の脆弱性を自動的に非表示にする「自動非表示」を設定できるようになりました。 自動トリアージはオーガニゼーションに対して適用され、スコア・CVSSv3ベクター・JPCERT/CC, US-CERT 注意喚起情報の AND 条件で複数設定できます。 Danger 指定をすると、脆弱性タブで該当する行が赤くなり目立つようになります。 特に必須で対応しないといけない脆弱性を注意喚起するために自動 Danger をお役立てください。 また、物理でしか攻撃できない・管理者権限がないと攻撃できない、などといったリスクを受容すると判断した脆弱性は自動非表示を設定し、トリアージ業務の負担を軽減してください。 その他の機能追加
重要フィルタをより細かく
重要フィルタがより細かく設定できるようになりました。 これまで重要フィルタは「スコア」「NW から攻撃可能」「権限なしで攻撃可能」「JPCERT/CC, US-CERT の注意喚起情報あり」のみが設定可能でしたが、 より細かく設定できるように変更し、 NVD/JVN/Red Hat/Microsoft の各 CVSS スコア、CVSSv3の各ベクター、JPCERT/CC, US-CERT の注意喚起情報の13項目の組合わせで重要フィルタを設定できるようになっています。 各グループごとに重視したい項目を設定し、トリアージにお役立てください。
security2019-09-19
2019-09-19 リリース内容
今回のリリースでは以下を変更しました。 機能追加
Deep Security as a Serviceとの連携を強化
FutureVuls で検知した脆弱性が DSaaS の IPS で防御されているかを FutureVuls の画面上で表示できるようになりました。 また、DSaaS で防御されている脆弱性タスクは自動で WORKAROUND の状態に変更されますのでトリアージがさらに楽になります。 この機能を有効にするためには、FutureVuls 上で DSaaS の API キーを登録し、DeepSecurity のエージェントをインストールしたあと、FutureVuls で再度スキャンする必要があります。 API キーの権限設定は ヘルプページ をご確認ください。 日次スキャンレポートの実装
24時間以内に初めて検知された脆弱性の日次レポートを実装しました。 朝8:00過ぎにメールでレポートが届きます。 レポートの内容は以下の通りです。 24時間以内に初めて検知した重要な脆弱性の数 24時間以内に初めて検知したその他の脆弱性の数 サーバ別、深刻度別脆弱性数のテーブル なお、配信を停止する場合は、 プロフィール画面 から設定できます。 レポートサンプル
security2019-08-02
2019-08-02 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
トリアージ支援機能 「NW攻撃可能か」「権限なしで攻撃可能」のRed Hatの列を追加
これまで用意していた「Red Hat の CVSS スコア」や「Red Hat の深刻度」に加えて、「NW から攻撃可能か」「権限なしで攻撃可能」についても Red Hat 版を用意しました。 CentOS や RHEL 環境では、NVD の情報よりもベンダ1次情報である Red Hat の情報もとに判断したほうがトリアージ(脆弱性対応判断)が捗ります。 トリアージが捗る理由としては、Red Hat のほうがスコアが低くつけられているケースが多々あり、例えば、 CVSS が Red Hat は3.8だが、NVD では9.8 AV: 攻撃元区分 (Access Vector)が、Red Hat は Local だが、NVD では Network PR: 必要な特権レベル(Privileges Required)が Red Hat は高(H)だが、NVD では低(L) といったように CVSS スコア、CVSS Base Metrics が、Red Hat と NVD で異なっている(NVD は別 OS 環境を考慮した結果、Red Hat のものよりも深刻と判断されている)ものが多く、Future Vuls 上でのトリアージ作業の支障となるケースが多々あるためです。 脆弱性リストの 「表示項目の編集」アイコン から表示・非表示を切り替えることができます。 CentOS や RHEL を利用中の方はお試しください。 参考: IPA 共通脆弱性評価システムCVSS v3概説 脆弱性詳細の項目並び順変更
脆弱性詳細のページに表示されるサマリ・CVSS スコアの並び順を変更しました。 これまでは JVN → NVD → Red Hat → Microsoft の順に表示していました。各ディストリビューションの情報を優先するため、Red Hat → Microsoft → JVN → NVD の表示順へ変更しました。 ソフトウェアリストのバージョン・リリース列を統合
これまでソフトウェアリストのバージョン・リリースを別の列で表示していました。「インストール済みバージョン」と「アップデート可能なバージョン」を見比べる際に列が統合されている方が確認しやすいため列を統合しました。 またアップデード可能なソフトウェアを !マークで強調して表示するよう変更しました。 新規作成時のナビゲーションにヘルプへのリンク追加
新規登録したユーザがオーガニゼーションやグループの作成で迷わないよう、該当部分にヘルプページのチュートリアル( /tutorial/ )へのリンクを追加しました。
security2019-07-05
2019-07-05 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
RHEL8サポート
Red Hat Enterprise Linux 8に対応しました。 本日から RHEL8のスキャンが可能です。 RHEL8のスキャンには スキャナの更新 が必要です 検知された脆弱性の対応判断支援を強化
脆弱性タブのメニューを変更
タブメニューを一新しました。 スキャンして検知された脆弱性は、まずは一番左の未対応なタブに表示されます。 それぞれの脆弱性ごとに対応要否を判断し、非表示にするか、対応する場合はタスクを更新すると「未対応」なままの脆弱性が減っていきます。 左側「未対応」な放置されている脆弱性をどんどん減らして、右側の対応中、対応済みに振り分けていくイメージです。 以下にそれぞれのタブの意味を説明します。 重要な未対応
「重要フィルタ」で絞り込まれた脆弱性に関連するタスクのうち、1つでも未対応ステータスがある脆弱性が表示されます 未対応ステータスとは、「非表示ではない」かつタスクステータスが「new」のもの、つまり、放置されている脆弱性のことです。 その他の未対応
「重要フィルタ」で該当 しない 脆弱性に関連するタスクのうち、1つでも未対応ステータスなままの脆弱性が表示されます。 対応済み
その脆弱性に関連するタスクすべてが対応済みステータスのものが表示されます。 対応済みとは、タスクのステータスが「PATCH_APPLIED」「WORKAROUND」または、非表示のものです。 対応中
現在対応中の脆弱性が表示されます。 正確には、未対応ではない、かつ、対応済みではない脆弱性が表示されます。 脆弱なパッケージのプロセスの起動状況、ネットワークポートがListen状態かを表示
検知した脆弱性に該当するパッケージのうち、プロセスが起動しているものや、ネットワークポートを開いて Listen しているものがあるかをアイコンで表示します。 インターネットや LAN からネットワーク経由で攻撃される脆弱性の対応判断に役に立つ情報です。 プロセス起動状況やポートの情報は、脆弱リスト、タスクリスト、ソフトウェアリストから確認できます。 本機能は スキャナの更新 が必要です Will not fixな脆弱性を検知しないように
RHEL と CentOS にて、Red Hat 社がリスクが低いのでパッチを提供しないと判断した脆弱性(パッチ提供ステータスが Will not fix)を検知しないようにしました。 これにより Red Hat が低リスクと判断した脆弱性を除外した状態で判断が可能となります。 また、過去に検知されていた Will not fix の脆弱性を画面に表示されないように変更しました。 脆弱性の数、タスクの数が減少していることがありますが、今回の対応によるものです。 なお、パッチ提供予定のある「Affected」な脆弱性と、将来的に修正される「Fix deferred」「Not Fixed Yet」な脆弱性は引き続き、検知されます。 RHEL のパッチ提供ステータスは下記ページが参考になります。 https://access.redhat.com/blogs/product-security/posts/2066793 画面に用いる色を変更しました
色調の統一や可読性向上のため画面に用いられている色の変更を画面全体に行いました。 脆弱性一覧の「深刻度」やタスク一覧の「タスクの優先度」は以下のようになりました。 文字の可読性が向上したとともに、モノクロ印刷をした場合に危険なもの・優先度が高いものほど背景の色が濃くなるように調整されています。 他にも SSM コマンド履歴やスキャン履歴のステータス、リンクのテキスト、ペインの区切り線などの色も調整しています。 ヘルプページへの反映は今後順次行われる予定です。 重要フィルタの設定をグループ全体で共有できるように
これまではグループのメンバ各々が重要フィルタのルールを設定していました。 今回の変更により、グループ内でルールを共有するようにし、統一したルールで脆弱性管理ができるようになりました。 今まで使用していた重要フィルタの設定は使用できなくなります。 グループ内で相談の上、重要な脆弱性のフィルタを設定してください。(設定はグループ管理者のみ可能です)
feature2019-06-19
2019-06-19 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
IPアドレスを使ったアクセス制限
IP アドレスのレンジ(CIDR 形式)をオーガニゼーションの設定ページに追加すると IP 制限ができるようになりました。 IP アドレスの制限の詳細は以下の通りです。 IP レンジを設定していない場合は、すべての IP アドレスからの接続が許可される 1つでも IP レンジを指定すると、指定した IP レンジからしかアクセスできない。 設定者(接続している人)の IP アドレスを制限するような設定はできない。(最初は自分の IP アドレスを指定する必要がある) 今回の IP 制限で制限されるのは、コンソール画面と、FutureVuls API (スキャナからのアップロードは制限されません) 設定方法
オーガニゼーションの設定画面を開き、 アクセス可能なIPアドレスを登録 のカードで、 ADD をクリックします 許可したい IP アドレスを CIDR 形式で入力し、送信をクリックする 以下のように、登録 IP アドレスが表示されれば IP 制限は有効となっています バグフィックス
SSM ドキュメントの内の sudo を削除しました Google アカウントでのサインアップを修正しました
security2019-06-05
2019-06-05 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
AWS連携機能その1: 画面上でアップデート可能になりました
AWS と連携することで、FurureVuls の画面から AWS 上にある EC2サーバのパッケージアップデートできるようになります。 EC2サーバのタスクを選択し SSMアップデート のボタンを押すと、AWS Systems Manager エージェントを経由してアップデートコマンドを実行できます。 いきなりアップデード試すのが不安な方向けに DRY RUN モードでのアップデートコマンド実行もできます。 もちろん、実行結果も FurureVuls の画面から確認できます。 この機能は グループ設定 > 外部連携 > AWS から、IAM ロールまたは API キーで認証すると利用できるようになります。 ssh ログインせずにソフトウェアのアップデードを行えるようになるこちらの機能、AWS にて環境を構築しているならぜひお試しください。 マニュアル AWS認証設定 パッケージアップデート AWS連携機能その2: 画面上でスキャンが可能になりました
ソフトウェアアップデート後にすぐにスキャン結果を確認したい時に便利な機能です。 詳細はマニュアルを参照してください。 マニュアル AWS認証設定 スキャン この機能を利用するためには スキャナのアップデート を行ってください。 チュートリアル記事を公開しました
ヘルプページに チュートリアル記事 を公開しました。 登録から、スキャン、検知した脆弱性のトリアージ方法などを順を追って解説しています。 ぜひ一読ください。 タスクのリストにパッチ提供ステータスの欄を追加
タスクのリストにパッチ提供ステータスの欄を追加しました。 「すでにパッチが提供されているかだけでなく、これからパッチが出る可能性があるのかといった提供ステータスを一覧から確認したい」という声にお応えしてタスクのリストにパッチ提供ステータスの欄を追加しました。 タスクを振り分ける際の参考としてお役立てください。 RedHatの深刻度の欄を追加
脆弱性のリストに RedHat の深刻度の欄を追加しました。 「主に RHEL や CentOS を利用しているので、RedHat のスコアをもとにした深刻度を表示させたい」という声にお応えして、脆弱性のリストに RedHat の深刻度の欄を追加しました。 深刻度 にはこれまで通り、NVD・JVN・RedHat・Microsoft の v2/v3スコアの中から最も数値の高いものを元に CRITICAL/HIGH/MEDIUM/LOW/NONE で表示します。 RedHat のスコアは NVD・JVN と比べて低くなることが多いため、RHEL ベースの OS を多く利用される方は RedHatの深刻度 も参考してください。 リストの重要なものをアイコンで表示
リスト内の○☓表記のうち重要なものをアイコンで表示するようにしました。 警戒情報 ・ 攻撃コードあり ・ OS再起動が必要 ・ プロセス再起動 がアイコン化されています。 パッチ提供の欄を三段階で表示
パッチ提供の欄を三段階で表示するよう変更しました。 これまでは〇✖でのみの表示でしたが、すべてのパッケージにパッチが提供済み:〇、いくつかのパッケージのみパッチ提供済み:△、パッチ提供がない:✖ の3段階で表示するように修正しました。 バグフィックス
Ubuntu18のスキャンが失敗する問題を修正しました。Ubuntu18でスキャンに失敗する場合は スキャナのアップデート を実施してください。 RHEL, CentOS でパッチ提供ステータスが「Affected」な脆弱性も検知対象としました( 参考 )。 Ubuntu14, 16, 18でカーネルの脆弱性検知ロジックを改善しました。
security2019-04-10
2019-04-10 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
パッチ提供予定のないタスクを自動で非表示に
Will not fix とは、今後のパッチ提供が予定されていない、重要でないと判断されている脆弱性を指します。これまで FutureVuls では高い検知能力のため、これらの脆弱性も検知可能であったため、タスクの仕分けの手間が増えていました。 今回のリリースで以下の条件の場合、自動で「脆弱性情報に対して何らかの変更があるまで非表示」するタスクとして追加されます。 新規で作成されるタスク サーバの OS が CentOS もしくは Red Hat 関連パッケージのパッチ提供ステータスがすべて「Will not fix」 グループ設定画面で「パッケージが WillNotFix のタスクを自動的に非表示にする」が ON になっている この設定はグループ設定画面の「パッケージが WillNotFix のタスクを自動的に非表示にする」にて切り替えできます。 運用の負荷軽減のためにお役立てください。 攻撃コードの情報ソースを増強しました
攻撃コードが公開された直後から攻撃が増加する傾向にあるため、検知された脆弱性の攻撃コードが公開されているかどうか、は対応の緊急度を判断する際に非常に重要な判断要素です。 FutureVuls では、これまでは ExploitDB をデータソースとして表示していましたが、今回のアップデートで情報ソースを大幅に拡充しました。 1億以上ある GitHub プロジェクトを独自スクリプトでクロールして攻撃コードを収集 大量の PoC、攻撃コードが掲載されているページを解析して収集 脆弱性に攻撃コードが公開されているリストから確認でき、さらに詳細画面に攻撃コードのリンクが貼られています。 現状値の攻撃される可能性への反映や、緊急度を判断する際の参考としてお役立てください。 アップデート前のバージョンに戻す方法を表示
yum を用いる OS に対してのロールバックコマンドが表示されるようになりました。 「脆弱性を解消するためパッケージのアップデートを行ったが、不具合が生じたため元のバージョンに戻したい」、というときのためのコマンドが アップデートコマンド 内で表示されるようになりました。 いざというときにお役立てください。 DeepSecurityで同名の複数ポリシーの更新が可能に
同名のポリシーが複数ある場合に、同名のポリシーを同時に更新できるようになりました。 以下の画像のように [Vuls] サーバロール名 で設定したポリシーをすべて更新します。 Googleアカウントでのユーザ新規登録が可能に
Google のアカウントを用いたオンラインサインアップに対応し、より簡単にアカウントが作成できるようになりました。 まだアカウントを作成されていないなら、この機会にぜひ作成してみてください。 すでに作成済みのアカウントへ Google アカウントからログインする機能も後日実装予定ですので、しばらくお待ちください。 以前閲覧していたグループへ自動で遷移するように
これまで、ログインした後に閲覧するオーガニゼーション・グループを選択する画面が表示されていましたが、今回のアップデードで以前閲覧していたグループの脆弱性ページへ自動で遷移するようになりました。 他のグループや他のオーガニゼーションを確認したい場合は、左上のグループ切り替えメニューや右上の プロフィール > 所属情報 から切り替えてください。 バグフィックス
第1ペイン「脆弱性」グリッドの、パッチ提供済みカラムの不具合を修正
以下の場合でパッチ提供済みが☓になっていた不具合を修正しました。 ある CVE が複数サーバで検知されてる その中で1つでも「パッチ未提供」なものがある CPEベースのスキャンで検知漏れを修正しました
バージョン番号に()が含まれるケースのような、 セマンティックバージョニング ではない CPE を登録していた場合に検知漏れが発生していましたが、修正しました。
security2019-03-20
2019-03-20 リリース内容
今回のリリースでは以下の変更が入りました。 オンラインサインアップ、クレジットカード払いに対応
これまで新規登録のために問い合わせをお願いしていましたが、このたびオンラインサインアップができるようになりました。 FutureVuls から新規登録していただくと、すべての機能を2週間お試しいただけます。 実際にご自身のサーバをスキャンして危険な脆弱性がないかご確認ください。 さらにクレジットカードでの支払にも対応いたしました。 これを記念して、クレジットカードの登録をしていただいた方に期間限定で 3ヶ月間サーバ一台のスキャン(3か月×4,000円分計12,000円分)が無料になるクーポン配布キャンペーンを実施中です。 ぜひこの機会に新規登録して FutureVuls をお試しください。 今後はクレジットカードでの支払を標準としますが、大規模ユーザやクレジットカード払いが出来ない会社様の場合は、請求書払いを検討致しますのでお問い合わせください。 特に危険な脆弱性に対して注意喚起ができるように
脆弱性単位で情報共有が可能なトピック機能の投稿時に Danger を指定できるようになりました。 Danger が指定された脆弱性は脆弱性のリストや詳細表示画面で目立つように表示されます。 社内のセキュリティ部門の方が、対応が必須な脆弱性を組織内で注意喚起するときに役立ちます。 重要フィルタのデフォルトを設定
脆弱性リストの「重要」タブで表示される脆弱性のデフォルトフィルタ条件を変更しました。 従来の CVSSv3スコアが7以上 という条件に加えて、 NWから攻撃可能 権限なしで攻撃可能 の2つをデフォルトのフィルタ条件として追加しています。 「重要」タブのフィルタ条件を変更したい場合は、 「重要」フィルタを編集 ボタンからご自身の環境にあったフィルタへ変更できます。 攻撃コードがあるときに現状評価基準のEにヒントが出るように
該当の脆弱性に対して、Exploit Database で攻撃コードが確認されたとき、CVSS スコアの再計算エリアの E(攻撃される可能性) にヒントが表示されるようになりました。 Exploit Database で攻撃コードが確認された際には、 E(攻撃される可能性) を実証可能・攻撃可能・容易に攻撃可能のいずれかで再計算することをお勧めします。 脆弱性ページのタブの整理
脆弱性ページに表示されるタブの種類と名前を以下の6つに変更しました。 「重要(重要フィルタで絞り込まれた脆弱性)」 「新規・更新(1ヶ月以内で新規検知または、CVSS スコア・ベクターが更新された脆弱性)」 「1か月以内検知(1ヶ月以内に検知された脆弱性)」 「未対策あり(対策されていない脆弱性)」 「攻撃コードあり(Exploit Database で攻撃コードが確認された脆弱性)」 「すべて(非表示設定も含めたすべての脆弱性)」 用途に応じて各タブをお使いください。 CVSSスコアがない脆弱性をフィルタの対象外としました
これまでは脆弱性グリッドなどで、例えば CVSSv3スコア「7」以下でフィルタした場合に、CVSSv3スコアのない(「0」として表示されていた)ものも対象としていました。スコアでフィルタ後に一括で非表示する場合に、スコアがまだついていないものまで一括非表示になってしまう可能性がありました。今回の改修により、スコアのない他の指標で判断すべき脆弱性が、指定スコア以下のフィルタで表示されなくなるため、フィルタ結果を全選択し一括非表示できるようになり、より運用がしやすくなりました。
security2019-02-21
2019-02-21 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
GitHub Security Alertsと連携しライブラリの脆弱性をより賢く管理できるようになりました
GitHub にはライブラリの脆弱性検知機能が標準で提供されています( ドキュメント )。 今回、指定した GitHub リポジトリで検知された脆弱性を取り込み、FutureVuls 上で統合管理できるようになりました。 手順は、 GitHub トークンを発行する グループ管理者が、グループ設定 > 外部連携より、グループに対して GitHub トークンを登録する サーバ > 詳細より連携したい GitHub の オーナ/リポジトリ名 と、トークンを登録する。(実サーバにも、擬似サーバにも紐づけは可能) 具体的な手順は以下の通りです。 Edit personal access token より GitHub のトークンを発行する(参考: GitHub「Personal access tokens」の設定方法 ) グループ管理者権限ユーザがグループ設定 > 外部連携より上記で登録したトークンをグループに対して登録する サーバ詳細より、連携したい GitHub リポジトリとトークンを選択する 実サーバの場合は次回スキャン時に連携される。擬似サーバの場合は 手動スキャン ボタン押下により即時で反映される サーバ > ソフトウェアに該当のライブラリが表示される CVSSスコア再計算の項目を保存してグループ内で共有できるようになりました
CVSS は、 基本評価基準 , 現状評価基準 , 環境評価基準 の3つから構成され 現状評価基準 と 環境評価基準 を用いて適切なスコアに再計算できます。 具体的には、 現状評価基準 で その時の攻撃コードの公開状況やパッチ提供状況 に合わせたスコアを、また、 環境評価基準 で システムの置かれている環境 に合わせて再計算できます。 現時点の状況、環境に即した値である、再計算後のスコアをもとにパッチ適用判断やワークアラウンドでの対応など、緊急度の目安にできます。 今回のバージョンアップにより、再計算した結果を保存が可能になったことでグループ内のメンバ間で再計算後のスコアを保存、共有することが可能となりました。 基本評価基準, 現状評価基準, 環境評価基準の詳細は 共通脆弱性評価システムCVSS v3概説 を参照ください。 現時点では 現状評価基準 の項目はグループ内に閉じて保存されますが、近い将来グループ間で共有できるようになる予定です。
security2019-01-24
2019-01-24 リリース内容
今回のリリースでは以下を変更しました。 機能追加
アップデート可能なパッケージを一覧から確認しやすくなりました
サーバ > ソフトウェア の一覧へ「アップデート可能」の列が追加できるようになりました。(列が見えない場合は、「表示項目の編集」のボタンを確認ください) パッケージがアップデート可能かを画面上で確認できます。 1ヶ月以内に更新された脆弱性一覧を確認しやすくなりました
脆弱性のページのタブに「更新」が追加されました。 「更新」タブでは、1ヶ月以内で新規検知された脆弱性と、CVSS スコア・ベクターが更新された脆弱性を表示します。 脆弱性グリッドに「初回検知日時」「最新検知日時」「ベクター・スコア更新日時」列を追加
以下の列を脆弱性グリッドに追加しました。 「初回検知日時」はその脆弱性が初めて検知された日時 「最新検知日時」はその脆弱性が検知された最新の日付 「ベクター・スコア更新日時」は CVSS ベクターかスコアが更新された日時、またはその脆弱性が初めて検知された日時 スキャナをアップデートしました
スキャナを最新版に更新すると「スキャナ IP」と「スキャン方法」がスキャン履歴で確認できるようになります。 スキャナの更新は スキャナプログラムの更新 を参照ください。 config.toml と sudo の設定、cron の設定は変更せず、スキャナプログラム本体だけ更新するように設定されています。 トライアル終了したオーガニゼーションへ通知
トライアルを終了する場合はスキャナプログラムを アンインストール してください。
security2019-01-16
2019-01-16 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
ログイン画面のスタイルを大幅に変更しました
FutureVulsランディングページ の雰囲気に画面イメージを合わせました。 加えて、次回メンテナンス時間のお知らせなども表示されるようになりました。 ソフトウェアの詳細情報がより見やすくなりました
サーバにインストールされているパッケージについては、これまでに表示されていたパッケージ名やバージョンに加え、現在のバージョン・リリース、最新のバージョン・リリースなどが確認できるようになりました。 アップデート候補のバージョン番号を取得するためには、 fast-root モードでスキャンする必要がありますのでご注意ください。 再起動が必要なプロセス、そしてソフトウェアに関連する脆弱性・タスクもソフトウェアの詳細画面から確認できます。ソフトウェアのアップデートに必要な情報がまとめて表示されるようになりました。ぜひご活用ください。 追加したCPEを一括で削除できるようになりました
ソフトウェアの一覧テーブル上部に「CPE 削除」のボタンが追加されました。 以前のリリースで追加された、OWASP で登録や CPE 一括登録の機能と合わせてお使いください。
security2018-12-07
2018-12-07 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
CPEを一括登録可能に
これまでは、CPE を登録する方法は 検索して1つずつ追加する URIまたはFormatString形式で1つずつ追加する という2つの登録方法がありましたが、プログラミング言語のライブラリなどたくさんの CPE を登録する場合に手間でした。 今回、CPE を一括登録する方法を2つ追加しました。 1. OWASP Dependency Checkのxmlを貼り付けて一括登録する
CPE 追加画面を開き、 OWASPで登録 をクリックすると、テキストエリアが現れます。 そこに xml をコピーして貼り付ければ、記載されている cpe を抽出し、下に表示してくれます。 OWASP Dependency Check に記載されている cpe にはそれぞれ自動推測の信頼度が含まれており、そのレベルも一緒に表示されます。 抽出された CPE を確認し、大丈夫そうであれば、 送信 をクリックし、CPE を登録します。 2. フリーテキストで一括登録する
CPE 追加画面を開き、 CPE一括登録 をクリックすると、テキストエリアが現れます。 そこに、フリーテキストで、cpe の名前が複数入っているテキストを貼り付けると、抽出が始まります。 抽出された CPE を確認し、大丈夫であれば、 送信 をクリックし、CPE を登録します。 JPCERT,USCERT警戒情報表示
JPCERT や、US-CERT などの組織では、特に注意すべき深刻且つ影響範囲の広い脆弱性を定期的に公開しています。これらの脆弱性には、速やかに対応する必要があります。 今回のアップデートで、検知した脆弱性が、 JPCERTの注意喚起 と US-CERTのAlerts に含まれているかを確認できるようになりました。 これは脆弱性のリストと、詳細どちらからも確認できます。 リストページでは、JPCERT あるいは US-CERT の情報が1件でも該当すれば、「○」が表示されます。 脆弱性詳細ページでは、どの記事に含まれているかのリンクも表示されます。 JPCERT の警戒情報はこちらのページの情報を利用しています。 https://www.jpcert.or.jp/at/2018.html 「権限なしで攻撃可能」かどうかで脆弱性をフィルタ可能に
認証や権限なしで攻撃できる脆弱性を簡単に検知できるようになりました。 CVSS v2なら、Au:N のもの、CVSS v3なら PV:N のものが対象になります。 重要フィルタにも設定できるようになっているので、ご利用ください。 FutureVuls APIの機能追加
FutureVuls API で以下の変更がありました。 /v1/pkgCpe/cpe に CPE 追加用 POST メソッド追加 /v1/pkgCpe/cpe に CPE 削除用 DELETE メソッド追加 /v1/server/uuid/{serverUuid} に server 詳細取得用 GET メソッド追加 /v1/cve/{cveID} hasExploit を追加 hasMitigation を追加 hasWorkaround を追加 advisories を追加 serverOsFamilies 追加 /v1/cves hasExploit を追加 hasMitigation を追加 hasWorkaround を追加 adivisoryIDs を追加 /v1/pkgCpe/pkg/{pkgID} newVersion を追加 newRelease を追加 repository を追加 /v1/pkgCpes newVersion を追加 newRelease を追加 repository を追加 /v1/server/{serverID} serverIpv4を追加 platformName を追加 platformInstanceId を追加 /v1/servers serverIpv4を追加 platformName を追加 platformInstanceId を追加 successScanCount を追加 /v1/task/{taskID} hasExploit を追加 hasMitigation を追加 hasWorkaround を追加 advisoryIDs を追加 /v1/tasks hasExploit を追加 hasMitigation を追加 hasWorkaround を追加 advisoryIDs を追加 詳細は Swaggerドキュメント をご確認ください。 AdvisoryIDの表示
Amazon の ALAS や Windows の KBID をアドバイザリ ID として画面に表示しました。 脆弱性の一覧、タスクの詳細で確認できます。 Windowsアップデートコマンド
Windows でも Linux 同様にアップデートコマンドを表示できるようになりました。 Windows の場合は、KBID が表示されます。 パッケージのタスク一括更新
脆弱性 → ソフトウェアと遷移したのちに、パッケージのタスクを一括更新すると、今までは選択した脆弱性のタスクしか更新されませんでした。 しかし今回の変更で、選択した脆弱性のみ更新するのか、それとも選択したパッケージのすべての脆弱性のタスクを更新するのか選択できるようになりました。 ソフトウェア詳細の画面リニューアル
ソフトウェアの詳細画面を変更しました。 再起動が必要なプロセスや、影響を受けるプロセスなどがわかりやすく表示されるようになりました。 ソフトェアタブにアップデート候補のバージョン番号を追加
アップデート候補のバージョン番号を取得するためには、 fast-root モードでスキャンする必要があります。 ランディングページ よりチャット お問い合わせ ください。
security2018-11-19
2018-11-19 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
検知した脆弱性の攻撃コードの情報を表示可能に
攻撃コードが公開されると誰でも簡単に攻撃可能となるためリスクが格段に高まります。 このため攻撃コードが公開されているかどうかは、検知した脆弱性に対応するかどうかの判断基準として重要です。 攻撃コードの公開有無をフィルタ可能になり、詳細情報が表示可能となりました。 さらに、タスク非表示の条件として、 攻撃コードが見つかるまで を選択できるようになりました。 タスク非表示の条件として、 脆弱性情報に対して何らかの変更があるまで を追加
脆弱性情報に対して何らかの変更があるまでを選択すると、以下のどれかに合致した場合にタスクの非表示が解除されます。 アップデートパッチ、緩和策、または、回避策がでるまで ベクター、スコアが変わるまで 攻撃コードが見つかるまで これにより、判断済みの脆弱性に変化があった場合に再度表示されるため、その時点での判断だけでなく時間軸での状況変化を考慮した運用が可能となります。 脆弱性検知の対象外のパッケージを指定可能に
管理対象外のパッケージを画面上で指定可能になりました。 サーバ > ソフトウェア > 管理対象を設定 ロール > ソフトウェア > 管理対象を設定 から登録可能です。 次回以降のスキャン時に指定されたパッケージの脆弱性が検知された場合に、該当タスクが自動で 非表示 となります。 例えば、「Firefox」の脆弱性を管理しない場合は対象外として設定してください。 グリッド列のフィルタをわかりやすく
現在設定中のフィルタ条件がわかりやすくなり、フィルタのクリアが簡単にできるようになりました。 タスクの読み込み速度の爆速化
チューニングによりタスクのロード時間が5倍ほど短縮されました。 FutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、 ランディングページ よりチャット お問い合わせ ください。
feature2018-11-09
2018-11-09 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
タスク一括更新、非表示時にコメントを登録できるように
タスク一括更新・非表示時に、コメント入力できるようになりました。 たとえば、「PoC が出るまで様子見します」「ネットワークからの攻撃ではないので受容する」などのコメントを登録可能です。 そのほか機能追加
サーバリストに、サーバ UUID を表示可能に 仕様変更
仕様によりスキャナインストール用ワンライナ表示部分で-fast-root -offline を選択できないようにしました REST API の limit を100 -> 1000に変更しました FutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、 ランディングページ よりチャット お問い合わせ ください。
security2018-10-26
2018-10-26 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
一覧画面の表示パフォーマンスの劇的な改善
これまで大量の脆弱性を検知した場合で、「初回の画面表示時」や「リロード時」に10秒以上時間がかかるケースがありましたが、表示ロジックを改善し待ち時間を短くしました。 「アップデートパッチ、緩和策、または、回避策がでるまで」タスク非表示が可能に
脆弱性を検知した時点では、アップデートパッチ、緩和策、回避策がベンダから提供されてないケースが多々ありますが、タスク非表示の条件として指定できるようになりました。 再起動が必要なソフトウェア、サービス再起動コマンドをわかりやすく検索、表示
そのほか機能追加
緩和策または回避策のある脆弱性をフィルタ可能に グリッドのカラムの幅を保存可能に タスクグリッドにソフトウェア列を追加 タスク詳細画面でリポジトリ情報を表示 脆弱性詳細 > ディストリビューションサポートページに、AmazonLinux の一次情報のリンク(ALAS)を表示するように 脆弱性詳細 > ディストリビューションサポートページに、KBID のリンクを表示するように 仕様変更
パッチ未提供な脆弱性を初期状態で表示するように その他、利用体験改善のため、軽微な変更とバグを修正しました FutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、 ランディングページ よりチャット お問い合わせ ください。
security2018-10-11
2018-10-11 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
パッケージアップデートのための Ansible Playbook 機能を追加
タスク一覧画面にて、アップデート用の Ansible Playbook を画面上で表示し、ダウンロードできるようになりました。 複数のタスクを選択できるので、パッケージのアップデート作業を自動化できます。 例えば、/etc/ansible/hosts が以下のように書かれていて、 [db] 10.138.0.2 CVE-2018-8777をアップデートしたい場合は、タスク詳細のページにある「ANSIBLE PLAYBOOK」のボタンを押して、 ip-10-138-0-2_CVE-2018-8777.yml をダウンロードしたあと - hosts: {enter target host} を - hosts: 10.138.0.2 または - hosts: db と変更し ansible-playbook ip-192-168-0-188_CVE-2017-15298.yml と実行することで、Ansible による更新が実行されます 一覧から複数のタスクを選択して「ANSIBLE PLAYBOOK」を押すと、複数タスクに対する playbook を一括でダウンロードできます その場合はダウンロードした zip を解凍した後、解凍したフォルダ内の playbook.yml にある - hosts: {enter target host} を - hosts: 10.138.0.2 または - hosts: db と変更し ansible-playbook playbook.yml と実行することで、Ansible による更新が実行されます。 このように FutureVuls から playbook 用の YML ファイルをダウンロードして、ターゲットホストを指定、 ansible-playbook を実行することでパッケージをアップデートできるようになりました。 Ansible をお使いであればぜひお試しください。 Microsoft の脆弱性スコアを「脆弱性リスト」に追加
前回、脆弱性ページの詳細画面に追加された「Microsoft の脆弱性情報」を、リストのカラムへ追加できるようになりました。 デフォルトでは隠れていますが、表示項目の編集を利用すると確認できます。 脆弱性リストの「重要フィルタ」に Microsoft のスコアを追加
脆弱性リストの重要フィルタに、今回追加された Microsoft の脆弱性スコアを設定できます。 この機会に、あなただけの重要フィルタを設定し、日々の運用を効率化してみてください。 仕様変更
脆弱性のリストに「パッチ提供済み」列を追加 カラムの並び替えダイアログのデザインを修正 脆弱性リストの「未対策サーバ数」を「未対策サーバ数」と「全サーバ数」に分割 「タスク x サーバ」タブ内の「カーネル再起動」列を削除 その他、利用体験改善のため、軽微な変更とバグを修正しました FutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、 お問い合わせ ください。
security2018-10-02
2018-10-02 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
ゴールデンロゴ
右上のロゴがゴールデン仕様になりました。 Windowsの脆弱性情報がリッチに
これまでは Widows の脆弱性情報は NVD のものを表示していましたが、Microsoft の脆弱性情報も表示するようにしました。 これにより、これまで公開されてから日が浅く NVD に情報が掲載されない脆弱性でも詳細を表示できるようになりました。 グリッド列の表示、非表示、並び順を保存できるように
これまではグリッド列の並び替えは可能でしたが、列の表示、非表示やその順番を保存できませんでした。 今回のアップデートで保存できるようになりました。 これによりたとえば、CVSS v3のスコアで判断しているので CVSS v2のスコアは非表示にする、のように組織のルールに合わせたカスタマイズが可能です。 この設定は保存されますのでブラウザを閉じても大丈夫です。 仕様変更
グリッドのソート順を保存するように タスクタブの「非表示を解除」ボタンを、「すべて」タブでのみ表示するように サーバタブにサーバ UUID を表示 グループ設定 > スキャナのデフォルトインストールモードを「fast」ではなく「fast-root」モードに バグフィックス
サーバ > 脆弱性×タスク > タスククリックでページが真っ白になる ユーザプロフィールで所属情報を押して、オーガニゼーション押すとエラー ログイン時に表示されるダイアログのログインに戻るボタンが押せない FutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、 お問い合わせ ください。
security2018-09-21
2018-09-21 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
脆弱性情報(CVSS)が変更になった場合に、タスクチケットを自動で再オープンできるように
脆弱性の深刻度や特徴は CVSS(Common Vulnerability Scoring System) で表現されますが、CVSS は後日変更されることがあります。 日々の脆弱性管理では、その脆弱性の対応をするかしないかを判断する場合に CVSS の情報は重要な判断基準ですが、その時点で対応しないと判断しても後日 CVSS が変わった場合は再度対応を評価をしなくてはなりません。 たとえば、攻撃元区分がローカルだったのもが後日ネットワークから攻撃可能となった場合はその脆弱性のリスクが増大するからです。 今回のアップデートで、CVSS が変更された場合にチケットを再オープンする機能を実装しました。 これにより、CVSS が変更されたことに気づくことができ、最新情報を元にした再評価が可能となります。 タスクを非表示設定する際に、「ベクター、スコアが変わるまで」を選択してください。 グリッドのフィルタ条件が保持されるように
これまでは一括更新時やブラウザの戻るボタンで戻った場合にグリッドのフィルタ条件がクリアされていましたが、このフィルタ条件を保持するように変更しました。 RedHatのCVSSスコアの列を追加
RedHat の CVSS スコア列を追加しました。RedHat のスコアでフィルタ、ソートできるようになりました。 「重要フィルタ」にも RedHat 列のスコアを指定できるようになりました。 再起動が必要なプロセスの、サービス再起動コマンドを表示可能に
「アップデートしたが再起動していないプロセス」の、サービス再起動用のコマンドを表示できるようになりました。systemd, Upstart, SysVinit を判別して対応するコマンドを表示します。 仕様変更
「アップデートコマンド」ボタンで表示対象となるパッケージの変更
パッチ適用済みなパッケージ情報は必要ない パッチ未提供なパッケージはアップデートできない という理由で「パッチ未適応」かつ、「ベンダーパッチ提供済み」のパッケージのみに変更しました。 数値系のフィルタ条件を」「以下」「以上に変更しました
これまでは「未満」「より大きい」だったのを「以下」「以上」に変更しました。 バグフィックス
Mac 上で選択中のセルを「Cmd + c」でクリップボードにコピーできるように サーバタブ、ロールタブの一部フィルタが機能していなかったのを修正 他細かなバグフィックスをしました FutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、 お問い合わせ ください。
security2018-09-13
2018-09-13 リリース内容
今回のリリースでは以下の変更が入りました。 機能追加
ネットワーク機器の脆弱性管理が可能になりました
スキャナプログラムを使わずに脆弱性を検知、管理可能にする、擬似サーバ機能を追加しました。 サーバの一覧から「擬似サーバ作成」のボタンから作成し、対象となるネットワーク機器の OS などを CPE として登録することで Linux サーバなどと同じように脆弱性を検知、管理できます。 CVSSスコア・ベクターが変更されたときに、過去非表示にしたタスクチケットを再表示する機能を追加しました
これまでの「常に非表示」・「指定した期日まで」に加えて、「ベクター、スコアが変わるまで」を加えました。 こちらに設定しておくと、脆弱性データベース側で CVSS ベクター情報やスコアが更新され、危険度が変化したときに該当するタスクの非表示が解除され、表示されるようになります。 仕様変更
グリッド「未対策」列の削除 トピックタグのスタイルを変更しました ヘルプのツアーを改善しました。より分かりやすくなりました。 パッチを当てた後のメール通知をまとめて送信するように変更しました 。 タスク詳細のパッケージ名からパッケージ詳細画面へ遷移できるようになりました。 バグフィックス
メニュータブが遷移していないように表示されるバグを修正。 CPE のバージョンの . が . となっているのを修正。 オーガニゼーションオーナーがグループ作成後、リロードしないと左上のグループ選択プルダウンに表示されない問題を修正。 FutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、 お問い合わせ ください。
security2018-09-04
2018-09-04 リリース内容
今回のリリースでは以下の変更しました。 機能追加
「パッチ提供済み」列の追加
タスク情報を含むグリッドに「パッチ未提済み」列を追加しました。 初期表示ではパッチ提供済みのものしか表示しません。 パッチ未提供なタスクを表示したい場合は、「パッチ提供済み」列を「ALL」または「☓」でフィルタしてください。 脆弱性トピックに含まれるURLをリンクとして表示するように
リンクとして表示するようにしました。 仕様変更
グリッド「未対策」列の削除
グリッドに存在していた、「未対策」という列を削除しました。 タスクステータス[new]と同じ意味であり重複するためです。 バグフィックス
脆弱性詳細ページの CWE が重複して表示されたのを修正。 ロール > サーバ > サーバ編集にて所属ロール変更時にグリッドへ反映されないバグの修正。 ロール > サーバ > サーバ編集にて変更時にグリッドへ反映されないバグを修正。 タスク詳細ページでサーバ名が長い場合に、隣の検知日時に重なって表示されるバグを修正。 FutureVuls では今後も様々な要望をお待ちしています。欲しい機能や、使いにくい箇所などありましたら、 お問い合わせ ください。
feature2018-08-27
2018-08-27 リリース内容
Web 画面をゼロから書き直しました。
Generated at 2026-07-10 22:23 UTC