概要

ソフトウェアやプログラムに脆弱性が発見されると，図1の流れで対応が行われる．CVEは脆弱性情報，CVE-IDはその識別番号である．エクスプロイトはパッチリリースの前後，CVE公開後のいずれかのタイミングで発生する．CVEとして詳細な情報が公開されると，脆弱性の内容に応じてCVSS(Common Vulnerability Scoring System)という脆弱性深刻度スコアがつけられる．スコアはいくつかの基準を用いて算出される．先行研究では，CVEの公開日からエクスプロイトの公開日までの期間 (以下，ディレイ期間という．) と CVSSの評価 基準を分析し，非常に短い期間でエクスプロイトが 作成されている評価指標の組み合わせが存在することがわかっている[1]．しかし，データは2018年6月までのものを利用しており，COVID-19によってリモートワークが増えた期間は調査されていない．本研究は 2018年7月から2022年7月までのエクスプロイトを追加して，COVID-19前後での評価基準の組み合わせによるディレイ期間に変化があるか，調査・分析することを目的とする．