脆弱性レポートの読み方
公開日:YYYY/MM/DD
脆弱性情報を JVN において公開した日付(日本時間)です。同じ脆弱性について、ベンダ(製品開発者)や US-CERT、CPNI などから情報が公開されていても、公開日は一致しないことがあります。必要に応じてベンダ情報などを確認してください。
最終更新日:YYYY/MM/DD
最後に脆弱性情報に関する更新が行われた日付(日本時間)です。それまでの更新については更新履歴に記載しています。
JVN#XXXXXXXX(脆弱性識別番号)
脆弱性情報識別番号は、脆弱性情報を特定するために割り振られる一意な番号です。日本国内で報告された脆弱性情報には、JVN#ABCD1234 のような番号が割り振られます。US-CERT Technical Cyber Security Alert や US-CERT Vulnerability Note には、JVNTA00-001A、JVNVU#123456 のような番号が割り振られます。CPNI からの情報に関しては、CPNI-123456 のような番号が割り振られます。
各組織と同一の番号を使用することで、同じ脆弱性に関する内容であることがわかります。
脆弱性識別番号対応表 |
||
|---|---|---|
| 情報発信組織 | 情報発信組織における脆弱性識別番号 | JVN上で使われる識別番号 |
| IPA, JPCERT/CC | JVN#12345678 | JVN#12345678 |
| CERT/CC, US-CERT | TA99-123A | JVNTA99-123A |
| VU#123456 | JVNVU#123456 | |
| CPNI | CPNI-123456 | CPNI-123456 |
脆弱性のタイトル
脆弱性のタイトルは、どのシステム(製品)にどのような脆弱性が存在するかを示します。
緊急
脆弱性の影響を受けるシステム(製品)やその周囲への影響が大きく、できるだけ速やかにパッチや回避策を適用することをJPCERT/CC が推奨する脆弱性に関しては、緊急と表示されます。
緊急に該当する脆弱性レポートは、JVNのトップページ「新着リスト」にも緊急の文字が表示されます。
この表示はあくまでも目安であることに留意してください。影響を受けるシステム(製品)が実際に攻撃されたときの脅威(深刻度)は、システム(製品)のおかれている環境やそれが担うビジネス上の重要度などにより、変化します。 緊急に対策を講じる必要があるかどうかの判断は、脆弱性レポートの詳細を理解した上で、各組織において個別に判断することが重要です。
緊急を表示する具体例としては以下のようなケースを想定しています。
- リモートから任意のコードが実行できる。シェルにアクセスできる。システムを完全にコントロールすることができる。
- 実際の攻撃や被害が観測されている。
- SQL インジェクションやコマンドインジェクションなど。
- インターネットの基幹サービスがサービス運用妨害(DoS)攻撃を受ける。
概要
脆弱性の概要を記述します。 日々多くの脆弱性情報が公開されている中、例えば大企業のセキュリティ担当者など複数の情報ソースから多数の情報に目を通し、 各情報の詳細までを読むべきかどうかを瞬時に判断する必要のある立場にある方に、この情報の続きを読むべきかどうかの判断ポイント としてご利用いただくことを想定しています。いわゆるエグゼキュティブ・サマリーです。
影響を受けるシステム
影響を受けるシステムや製品、ライブラリなどの名称やそのバージョン番号などを列挙します。
詳細情報
この脆弱性に関する詳細な情報を記述する項目です。
想定される影響
脆弱性が悪用された場合、影響を受ける製品のユーザに対してどのような被害が想定されるかを記述します。
攻撃が成立するための条件(例えば、管理者権限であらかじめシステムにログインしている必要がある等)に関する情報も、ここに含まれます。
対策方法
脆弱性への対策方法を記載します。
対策情報には大きく2種類あります。1つはベンダ(製品開発者)が公開するパッチを適用したりアップデート版を使用することで、脆弱性自体を解決する「解決策」です。
もう1つは、脆弱性の存在自体はシステムに残るが、その影響を緩和する手段としての「回避策」です。回避策は一般に、ワークアラウンドと呼ばれることがあります。
ベンダ情報
1. ベンダ情報とは?
脆弱性情報に対するベンダ(製品開発者)の公開情報を記述する項目です。この項目に記載する情報には JPCERT/CC がコーディネーションを行った「登録ベンダ」からの公開情報と、JPCERT/CC とはコーディネーションを行っていないベンダからの情報が含まれます。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| XXX株式会社 | 該当製品あり | 2007/02/14 | XXX の告知ページ |
2. ベンダ「ステータス」について
「ステータス」には以下の4種類が存在します。各ステータスの説明は下記の5種類があります。
| ステータスの種類 | ステータスの示す内容 |
|---|---|
| 該当製品あり | 脆弱性該当製品がある場合 |
| 該当製品あり:調査中 | 脆弱性該当製品があり、継続して製品の調査を行っている場合 |
| 該当製品なし | 脆弱性該当製品がない場合 |
| 該当製品なし:調査中 | 脆弱性該当製品は見つかっていないが、継続して製品の調査を行っている場合 |
| 不明 | 脆弱性に関する対応状況の連絡がない場合 |
3. 「ベンダからのコメント」について
「ステータス」にある文字列をクリックすると、ベンダのコメントを記載したページに飛びます。リンク先のページ内容は、ベンダが提供した情報をそのまま掲載しています。
4. 「ベンダの告知ページ」について
「ベンダの告知ページ」には、当該脆弱性に関してベンダが自社サイトで公開しているアドバイザリへのリンクを記載します。
5. 「ベンダステータス表」に掲載されるベンダと、掲載されないベンダについて
以下の条件を満たすベンダのステータスが「ベンダステータス表」に掲載されます。
- 「情報セキュリティ早期警戒パートナーシップ」(早期警戒パートナーシップガイドライン)に参加している「登録ベンダ」である。
- 上記パートナーシップに基づき、JPCERT/CC から脆弱性詳細情報を受け取っている。
- JPCERT/CC へ「影響の有無」などベンダステータスの連絡を行っている。
ただし、ベンダが JPCERT/CC へベンダステータスの連絡を行っていない場合でも、必要に応じて当該ベンダを掲載する場合があります。
また、上述の条件を満たしている場合であっても、ステータスの公開が行われない場合もあります。
6. その他のリンク情報
登録ベンダ以外や海外ベンダが当該脆弱性に関する情報を公開している場合、その情報へのリンクをこの項目に記載することがあります。
| ベンダ | リンク |
|---|---|
| XXX Corporation | Security Patch for XXXX |
参考情報
他 CSIRT 組織やセキュリティベンダ等が公開する文書へのリンクを記載します。
JPCERT/CC からの補足情報
JPCERT/CC がハンドリングの過程で把握している付加的情報が示されます。
JPCERT/CC による脆弱性分析結果
1. 「JPCERT/CC による脆弱性分析結果」とは?
JPCERT/CC では脆弱性ハンドリングの過程で、各脆弱性に関する詳細な分析を行っています。その分析内容から、実際に脆弱性への対策を行う立場にある人が、脆弱性の脅威を判断するための判断材料となる項目を切り出して公開しています。
2. 表示例
YYYY.MM.DDにおける脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| a) 攻撃経路 | インターネット経由からの攻撃が可能。 |
|
| b) 認証レベル | 匿名もしくは認証なしで攻撃が可能。 |
|
| c) 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される。 |
|
| d) 攻撃の難易度 | かなり高度な専門知識や運が必要。 |
|
評価尺度には、「攻撃経路」「認証レベル」「攻撃成立に必要なユーザの関与」「攻撃のしやすさ」の4つの尺度があります。各評価尺度における、「攻撃成立の条件」と「評価値」の対応は以下の通りです。
a) 「攻撃経路」
ネットワーク越しに離れた場所からの攻撃が可能かどうかを示す。
| 攻撃成立の条件 | 評価値 |
|---|---|
| インターネット経由からの攻撃が可能 |
|
| Ethernet などローカルセグメント内(Bluetooth や 802.11 なども含む)からの攻撃が可能 |
|
| シェルからのシステムログインやリモートデスクトップなどから攻撃が可能 |
|
| システムに触れたり、物理的なコンソールからログインする必要がある。 |
|
b) 「認証レベル」
攻撃の前提条件として必要な認証のレベルを示す。
| 攻撃成立の条件 | 評価値 |
|---|---|
| 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃者が自らアカウントを取得することで攻撃が可能 |
|
| システムに正規登録されている一般ユーザのアカウントが必要 |
|
| 特権レベルの権限でログインすることが必要 |
|
c) 「攻撃成立に必要なユーザの関与」とは
攻撃を受けたユーザによる特別な操作がないと攻撃が完遂しないかどうか,および特別さの程度(積極的な関与または消極的な関与など)を示す
| 攻撃成立の条件 | 評価値 |
|---|---|
| ユーザが何もしなくても脆弱性が攻撃される可能性がある |
|
| リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
| 設定の変更など、積極的なユーザ動作が必要 |
|
d) 「攻撃の難易度」
攻撃に必要な攻撃者自身の技術的スキル水準を示す。
| 攻撃成立の条件 | 評価値 |
|---|---|
| 専門知識や運がなくとも攻撃可能 |
|
| ある程度の専門知識や運が必要 |
|
| 専門知識や運が必要 |
|
| かなり高度な専門知識や運が必要 |
|
非決定的 (non-deterministic) 要因 (例: OS 等による実行時のメモリ割当や並列処理におけるプロセス実行順序の影響等) によって、脆弱性に対する 攻撃が成功したりしなかったりする場合があり、JVN では、これを 「運」 と いう言葉で表現しています。
謝辞
脆弱性を発見した個人または組織の名前を記述する項目です。この項目は、発見者が脆弱性届出様式の「対策情報公表時の謝辞への届出者名の記載について」において、JVNで記載してもよいを選択した場合に掲載されます。
関連文書
同一の脆弱性に関して他組織で公表されている情報のうち、 JPCERT/CC の注意喚起情報、米国 CERT/CC および英国 CPNI (NISCC) が公開している情報へのリンクを掲載します。
更新履歴
脆弱性情報が更新された日付(日本時間)と更新内容を列挙します。
注意事項
2007年4月のリニューアルにより、詳細情報、対策方法、JPCERT/CC から の補足情報、JPCERT/CCによる脆弱性分析結果の項目を追加しました。 2007年4月25日より前に公開していた脆弱性レポートについては、上記項目が 空欄になっている場合があります。
