～深刻度を評価する「cvss」を利用した脆弱性対策について ...活用例...

Copyright © 2013 独立行政法人情報処理推進機構

脆弱性対策の効果的な進め方～深刻度を評価する「CVSS」を利用した脆弱性対策について～

独立行政法人情報処理推進機構 (IPA)技術本部セキュリティセンター

2013年11月22日


講義内容

１．脆弱性と攻撃の傾向

２．脆弱性関連情報の収集

３．CVSSを利用した自組織への影響分析

４．ケーススタディによる理解

５．CVSSバージョン3について

６．IPAのツールを利用した脆弱性対策

2


１．脆弱性と攻撃の傾向

3


脆弱性とは？

脆弱性とは、ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所

脆弱性の定義

簡単に言うと

攻撃によりシステムが攻略される可能性

セキュリティ被害をもたらす危険要素

攻撃を受ければ被害、受けなければ無害

(出典：情報セキュリティ早期警戒パートナーシップガイドライン)

4


脆弱性を取り巻く環境の変化～様々な分野に広がっていく脆弱性～

デバイスのスマート化、制御系のオープン化による新たな脆弱性

情報システム脅威：情報窃取、破壊、妨害

メディカルデバイスの脅威：身体への影響懸念

制御系システムの脅威：社会インフラへの影響5


脆弱性を取り巻く環境の変化～様々な分野に広がっていく脆弱性～

産業用制御システムの脆弱性公開状況

文化の異なるシステムへの脆弱性対策のあり方

パッチ配信方式、適用方式などの課題も多い

参照元：脆弱性対策情報データベースJVN iPediaの登録状況[2013年第1四半期（1月～3月）]

6


脆弱性を取り巻く環境の変化～海外では脆弱性売買が行われている～

脆弱性発見者に報奨金を支払う制度が一般化

Microsoft,Google,Mozilla,PayPalなどが採用

脆弱性種別によっては、最大１０万$の報奨金

脆弱性発見を専門とする企業出現(ビジネス化)

報奨金を競うコンテストも開かれている

脆弱性情報を提供

報奨金

7


脆弱性と攻撃の関係

脆弱性を構成する要素(脆弱性関連情報)

攻撃コードの悪用が脆弱性を狙った攻撃となる

開発元は、攻撃を無効にする対策を提供

脆弱性を含んだソフトウェア攻撃コード(Exploit)

対策パッチ(情報)

一対の関係

一対の関係一対の関係

8


脆弱性と攻撃の関係 (平時)～脆弱性対策は、どのようにして行われるのか？～

製品開発元が発見

開発元

対策バージョンの提供

対策バージョン

善意な第三者による発見

開発元

対策バージョンの提供

対策バージョン善意な第三者

情報通知

脆弱性情報が安全に流通されたケース

上記パターンは、最も危険度の小さいケース9


脆弱性と攻撃の関係 (平時)～攻撃者は、どのように脆弱性を悪用するのか？～

対策の後に攻撃が発生

悪意のある人

攻撃ステージ

攻撃準備

対策パッチ提供攻撃発生脆弱性発見

パッチを解析して攻撃コードを生成

既知の脆弱性を悪用した攻撃

攻撃者はパッチ情報を解析して攻撃コード作成

タイムリーに脆弱性対策を行うことが重要

10


脆弱性と攻撃の関係 (緊急時)～攻撃は、どのようにして行われるのか？～

攻撃情報により脆弱性が発覚

開発元

悪意のある人③攻撃情報から脆弱性を認識

攻撃により脆弱性の存在を認識するケース

多数の被害を出す事故に発展するケース

①脆弱性発見

②攻撃の実施⑤対策バージョンの提供

対策バージョン

④確認・パッチ生成

11


脆弱性と攻撃の関係 (緊急時)～攻撃者は、どのように脆弱性を悪用するのか？～

脆弱性発見対策パッチ提供緩和策提供脆弱性認識攻撃発生

対策よりも攻撃が先に発生

悪意のある人

攻撃準備攻撃ステージ

開発元

対策準備対策情報提供

ゼロデイ(対策前に攻撃が行われる)

12


脆弱性と攻撃の関係 (平時→緊急)～攻撃は、どのようにして行われるのか？～

攻撃コードが公開される

開発元

善意な第三者

攻撃コードの共有

攻撃コードが公開されることで、緊急度がUP

攻撃コード公開で、攻撃者が増え、大規模攻撃へ

悪意のある人攻撃コード公開脆弱ソフトウェア

大規模な攻撃に

13


事例紹介①～ゼロデイ攻撃と既知の脆弱性の悪用比率～

出典： IBM Security Services「2012 上半期 Tokyo SOC 情報分析レポート」http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf

メールに添付されていた不正なファイルの拡張子ドキュメント・ファイルを悪用する脆弱性の割合

世の中の大半は既知の脆弱性の悪用が横行

標的型メール攻撃を例にとった脆弱性の分類比率

14


事例紹介②～サーバ系ソフトの既知の脆弱性を悪用した事例～

Apache Struts2 の脆弱性(S2-016)を悪用した攻撃

脆弱性対策情報公開後に攻撃が急増

著名なソフトウェアは、常に攻撃に晒されている

出典：株式会社ラック

特別なHTTPリクエストをApache Struts2上で動作しているWebアプリケーションに対して送信することで、任意のJavaコードが実行される問題

15


事例紹介③～クライアント系ソフトの既知の脆弱性を悪用した事例～

ドライブバイダウンロードにみる脆弱性公開と攻撃の関係1/15

JRE公開

2/5JRE公開(ｾﾞﾛﾃﾞｲ)

2/20JRE公開

5/15Adobe公開

立て続けに脆弱性公開と攻撃が続いている

ｾﾞﾛﾃﾞｲ攻撃の場合、公開直前に攻撃ピーク

出典：「2013年上半期 Tokyo SOC 情報分析レポート」http://www935.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf

16


まとめ～脆弱性を悪用した攻撃の特徴～

攻撃コードが出回ると攻撃が急増

脆弱性公開直後から攻撃が急増傾向に

既知の脆弱性が狙われる割合が高い

攻撃手法が共通である為、大規模攻撃に

脆弱性と攻撃の関係

タイムリーな対策が重要

17


２．脆弱性関連情報の収集

18


脆弱性関連情報の収集

脆弱性関連情報の収集とは？

外部の情報を収集し、自組織の対策に役立てる

システム管理者

製品ベンダー注意喚起サイトニュースサイト脆弱性DB

脅威傾向

脆弱性対策を行う為に、対策の判断要素となる情報19


脆弱性関連情報カテゴリ

情報種別と対策の考え方一例

対策判断を行う為に、どのような情報を掴めば良いのか？

迅速に対策を実施する為に判断材料となる情報を収集

対象情報情報の意味合い活用例

脆弱性対策情報被害を受けるポテンシャル

・脆弱性の深刻度の調査・当該製品の脆弱性対策

攻撃情報実際に行われている事象・自組織の対策状況のチェック・攻撃有無のチェック

脅威傾向攻撃者の狙い・傾向・中期的なセキュリティ対策の立案

20


情報収集に役立つキーワードについて知ろう

21


知っていますか？CVE,CVSS,CWE

効率的に進める為に有効なキーワード

・・・脆弱性を一意に識別する番号

・・・脆弱性の種別を体系的に分類

・・・脆弱性の影響度を評価する数値指標

注意喚起や脆弱性レポート等でも使用されている

22


世間で公表されている脆弱性に割り当てられた識別番号。脆弱性を一意に特定することを可能とする

Common Vulnerabilities and Exposures

（共通脆弱性識別子）

プログラム上のセキュリティ問題に一意の番号(CVE識別番号)を付与して管理

CVEとは～脆弱性に番号を割当て、一意に識別することを可能にする～

ベンダー情報） ISC

CVE識別番号の構成

CVE-2012-1000西暦連番

2014年1月～最大7桁に

CVE-2012-3413CVE-2012-10000CVE-2012-100000CVE-2012-1000000

23


CVEの採番方法新規脆弱性毎にMITRE 社（*1）に申請、または

米国MITRE社に認定されたCNA (CVE Numbering Authority, CVE 採番機関)から割り当て

参考URL） http://cve.mitre.org/cve/cna.html

MITRE Corporation

Apple Inc. JPCERT/CCAdobe

Systems Incorporated

Google Inc. Oracle ・・・

Primary CNA

CVE

CVE番号群

ソフトウェアベンダーや第三者調整機関など計24組織

CVE番号群

CVE番号群

CVE番号群

CVE番号群

日本

(*1)MITRE Corporation：米国政府向けの技術支援や研究開発を行う非営利組織。

CVEとは～採番方法の仕組み～

24


Common Vulnerability Scoring System

(共通脆弱性評価システム)

脆弱性の深刻度を0.0～10.0のスコアで評価

CVSSとは～脆弱性の深刻度を数値で表現する～

出典：Oracle

http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

CVE番号

CVSS値

25


CVSS のスコアにより、脆弱性の深刻度を評価

CVSSとは～脆弱性の深刻度を数値で表現する～

深刻度 CVSS値

レベルⅢ(危険)

7.0～10.0

レベルⅡ(警告)

4.0～6.9

レベルⅠ(注意)

0.0～3.9

脆弱性の深刻度を表すバロメータとして、CVSSが活用されている

26


CWEとは～脆弱性のタイプを体系立てて分類した指標～

Common Weakness Enumeration

（共通脆弱性タイプ一覧）

脆弱性を種別毎に分類CWE 番号体系利用例(JVN iPedia)

27


CWEとは～主要な脆弱性タイプ一覧～

主な脆弱性タイプとCWE識別子番号

28


情報収集先サイト

29


脆弱性情報データベース(1)

JVN (Japan Vulnerability Notes)URL：http://jvn.jp/

国内外の脆弱性対策情報を日本語に翻訳して公開

JPCERT/CC、IPAが運営するサイト

情報セキュリティ早期警戒パートナーシップで対応の「脆弱性対策情報ポータル」

国内製品開発者の対応情報が掲載

海外のCERTから展開される脆弱性関連情報が掲載

掲載された情報がニュース記事等に掲載される

30



JVN iPediaURL：http://jvndb.jvn.jp/

国内外の脆弱性対策情報を収集したディクショナリデータベース

IPAが運営するサイト国内ベンダーと連携を

し、脆弱性対策情報を公開

海外の脆弱性DB（NVD）の情報を日本語翻訳して公開

約42,000件の脆弱性対策情報を登録

31



NVD(National Vulnerability Database)URL：http://nvd.nist.gov/

NISTが運営する元祖脆弱性対策データベース

米国標準技術研究所(NIST)が運用

CVE識別番号で管理されている

データベース検索機能、統計機能を備えている

約59,000件の脆弱性対策情報を登録

情報は全て英語

32



SecurityFocusURL：http://www.securityfocus.com/

脆弱性の攻略情報を付加したデータベース

SecurityFocusが運用脆弱性情報などの交

換が行われているBugtraqと親和性が高い

脆弱性の攻略に関する情報(exploit)を掲載

攻撃に悪用されるような重要な脆弱性情報にフォーカスを当てている

33



OSVDB(Open Sourced Vulnerability Database)URL：http://www.osvdb.org/

オープンソース型で運用されているデータベース

非営利団体で運営する脆弱性対策データベース

攻撃情報の有無など掲載している

約10万件のデータが登録されている

34


注意喚起サイト (1)

JPCERT/CC 注意喚起URL：http://www.jpcert.or.jp/at/

JPCERT/CCからの注意喚起

官公庁系を含めて国内で広く参照されている

注意喚起の大半は、マイクロソフト月例、Oracle、Adobeに関する情報

35



IPA：重要なセキュリティ情報URL：http://www.ipa.go.jp/security/announce/alert.html

IPAからの注意喚起

JVNに掲載された情報マイクロソフト、Oracle、

Adobe等の緊急度の高い脆弱性情報を発信

攻撃の有無を掲載ウェブサイト改ざん等の攻

撃の傾向について発信

36



警察庁：重要なセキュリティ情報URL：http://www.npa.go.jp/cyberpolice/important/topics-bn.htm

警察庁＠police

マイクロソフト、Oracle、Adobe等の緊急度の高い脆弱性情報を発信

定点観測情報等から攻撃傾向などの情報を発信

不正アクセス事案などの情報も発信

37



米国：US-CERTURL：http://www.us-cert.gov/ncas

米国：US-CERT

米国：US-CERTが運営する情報

「現在注目するセキュリティ」、「注意喚起」、「週間レポート」を掲載

米国発の攻撃や脆弱性情報など多数掲載されている

38



米国：ICS-CERTURL：http://ics-cert.us-cert.gov/

米国：ICS-CERT

米国：ICS-CERTが運営する情報

制御系システムに関連した製品の脆弱性を公開

「注意喚起(Alerts)」と「脆弱性対策情報(Advisories)」を発信

39


ニュースサイト

国内ニュースメディアCNET ニュース：セキュリティ

http://japan.cnet.com/news/sec/

ITmedia エンタープライズセキュリティhttp://itmedia.co.jp/enterprise/security/

ITpro セキュリティhttp://itpro.nikkeibp.co.jp/security/index.html

海外ニュースメディアComputerWorld Security (米国中心)

http://www.computerworld.com/

The Register (英国・欧州中心)http://www.theregister.co.uk/security/

メディアが効率よく情報を拾ってくれる

40


製品ベンダーサイト(1)

定例アップデート提供マイクロソフト TechCenter (毎月第2火曜日更新)

http://technet.Microsoft.com/ja-jp/security/default.aspx

オラクル Critical Patch Update (年4回 1,4,7,10 17日に近い火曜日)http://www.oracle.com/technetwork/jp/topics/security/alerts-082677-ja.html

クライアント系アップル

http://support.apple.com/kb/HT1222?viewlocale=ja_JP

アドビ (Adobe Reader/Adobe Flash Player など)http://www.adobe.com/jp/support/security/

Mozilla (FireFox/ThunderBird など)http://www.mozilla-japan.org/security/known-vulnerabilities/

使用している製品の脆弱性対策に

41



サーバ、ネットワーク製品系シスコ – セキュリティアドバイザリ

http://www.cisco.com/cisco/web/support/JP/loc/security/index.html

Hewlett-Packardhttps://h20566.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/secBullArchive

日立 –セキュリティ情報http://www.hitachi.co.jp/hirt/security/index.html

IBM –重要なセキュリティ情報http://www-06.ibm.com/jp/services/security/info/index.html

Red Hat – Erratahttps://rhn.redhat.com/errata/


42



セキュリティ製品系シマンテック –セキュリティアップデートhttp://www.Symantec.com/ja/jp/security_response/securityupdates/list.jsp?fid=security_advisory

オープンソース系 Apache Foundation

http://httpd.apache.org/ (Apache HTTPサーバ)

http://tomcat.apache.org/ (Apache Tomcat)

http://Struts.apache.org/ (Apache Struts)

ISC(Internet Systems Consortium)http://www.isc.org/downloads/bind/ (BIND)

http://www.isc.org/downloads/dhcp/(DHCP)

OpenSSLhttp://www.openssl.org/


43


製品ベンダーサイト(4)/その他

オープンソース系OpenSSL

http://www.openssl.org/

OpenSSHhttp://www.openssh.org/

Sambahttp://www.samba.org/

その他ラック注意喚起情報

http://www.lac.co.jp/security/alert/index.html

IBM Tokyo SOC Reporthttps://www-304.ibm.com/connections/blogs/Tokyo-soc/?lang=ja_jp


幅広く情報を収集して、効率的な対策に結びつける44


３．CVSSを利用した自組織への影響分析

45


情報の絞込み

収集した情報について自組織への影響を分析するにはどうすれば良いのか？

流れは以下の通り

Ｓｔｅｐ１

脆弱性の危険度を確認

Ｓｔｅｐ２

自組織への影響を分析

Ｓｔｅｐ３

＞＞

脆弱性の特性や攻撃状況を確認

自組織に関連する情報を抽出

全ての情報

必要

自組織のリスクを考慮した対策を実施

緊急後でも

46


脆弱性を危険度や攻撃状況で分類すると

組織に必要な情報を収集することが重要

Step1 情報の絞込み～攻撃の状況や組織への影響を考慮した収集を～

脆弱性対策情報（全件）

自組織で利用しているソフトウェア（対策すべき最大範囲）

技術的危険度が高い

攻撃に悪用される可能性が高い

47


収集時のポイント

緊急度や重要度を加味した情報収集が有効

• 自組織に関連する情報か利用のソフトウェアやバージョンが収集情報と一致するか

• 被害を受けた場合の影響は大きいか漏えいや改ざんなどが発生すると業務への影響大、など

• 既に攻撃が行われているか攻撃が蔓延、など被害が発生する可能性は高いか

Step1 情報の絞込み～緊急度や重要度を加味した情報収集を～

48


Step2 脆弱性の危険度を確認～脆弱性の危険度を確認する際のポイント～

１．脆弱性固有の危険性（攻撃の難易度や影響度）はどの程度か？

２．攻撃が蔓延するなど、いつ被害を受けてもおかしくない状況か？

３．自組織のシステムで考えた場合、どの程度危険なのか？

脆弱性によるシステムへの影響評価指標

ポイント

49


Step2 脆弱性の危険度を確認～危険度の確認はCVSS利用が効果的～

１．複数のベンダやセキュリティ関連企業がCVSSを採用、危険度や緊急度の指標として利用可

２．脆弱性固有の危険性の内容が把握可（攻撃の難易度や影響度がわかる）

３．自組織の環境を評価することで、対策時の優先順位付けが可能

CVSSを利用するメリット

CVSSの評価方法を理解すると、脆弱性関連情報の収集や分析に活用できます

50


CVSSの考え方～攻撃状況やシステムの重要度を加味した評価～

脆弱性の深刻度を表す評価「技術的観点」×「攻撃状況」×「システムの重要度」

例えば「”バッファオーバフロー”」 × 「攻撃観測なし」 × 「内部システム」

＝深刻度低

「”クロスサイトスクリプティング“」 × 「攻撃観測あり」 × 「対外システム」

＝深刻度高

何が引起されるか？既に攻撃されている？対策パッチは出ている？

システムの重要度は？

51


評価方法は公開されており、だれでもＣＶＳＳスコアを採点することができます

基本評価基準（0.0 ～ 10.0）

現状評価基準（0.0 ～ 10.0）

環境評価基準（0.0 ～ 10.0）

※現状評価基準および環境評価基準は、基本評価基準を元に算出されます※現状評価を最大と仮定して環境評価を行うことも可能です

CVSSとは～評価基準一覧～

脆弱性の技術的な特性を評価例: システムの乗っ取りが可能なら危険大例: システムへの影響が小さく攻撃方法が難しければ危険小

ある時点における脆弱性を取巻く状況を評価例: ゼロデイ攻撃があれば危険大例: 攻撃コードが利用不可で正式な対策情報が存在すれば危険小

その利用者における問題の大きさを評価例: 社内の基幹システムで利用なら危険大例: 攻撃を受けた場合でも被害が少なければ危険小

52


CVSS基本評価～脆弱性の技術的な特性を評価する～

脆弱性の技術的な特性とは？

インターネット

OR

攻撃の難易度

攻撃によりシステムが受ける影響

53


評価項目選択肢・ポイント

攻撃の難易度

どこから攻撃可能であるか攻撃元区分 (AV Access Vector)

ローカルL

隣接N/WA

ネットワークN

攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC Access Complexity)

高H

中M

低L

攻撃するために認証が必要であるか攻撃前認証要否 (Au Authentication)

複数M

単一S

不要N

攻撃による影響

機密情報が漏えいする可能性機密性への影響 (C Confidentiality Impact)

なしN

部分的P

全面的C

情報が改ざんされる可能性完全性への影響 (I Integrity Impact)

なしN

部分的P

全面的C

業務が遅延・停止する可能性可用性への影響 (A Availability Impact)

なしN

部分的P

全面的C

危険小危険大

ベンダやセキュリティ関連企業が評価をしている

時間や環境が変化しても評価結果は変わらない


54



http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3906

CVSSのパラメータは短縮表記も可能

パラメータを見ることで脆弱性の特性が把握可能55


例：脆弱性固有の特性を見てみる短縮表記が(AV:N/AC:L/Au:N/C:P/I:N/A:N)の場合


攻撃の難易度


ローカルL

隣接N/WA

ネットワークN


高H

中M

低L


複数M

単一S

不要N



なしN

部分的P

全面的C


なしN

部分的P

全面的C


なしN

部分的P

全面的C


56


JVN iPediaでもCVSS基本値を公開中


http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-005030.html

CVSSパラメータの選択肢が日本語で確認可能

深刻度基本値

レベルIII（危険）

7.0～10.0

レベルII（警告）

4.0～6.9

レベルI（注意）

0.0～3.9

基本値を元にして深刻度（危険、警告、

注意）で分類をするのが一般的です。

57


CVSS現状評価～ある時点の攻撃状況などを評価する～

攻撃の状況とは？

実際に攻撃が行われている

攻撃コードが一般に公開(攻撃の予兆)

危険危険

危険

58



一部のセキュリティ関連組織が情報を公開

時間の変化に応じて評価も変化する（危険増）


攻撃コード・攻撃手法が実際に利用可能であるか攻撃可能性 (E Exploitability)

未実証U

実証可P

攻撃可F

容易H

対策がどの程度利用可能であるか対策のレベル (RL Remediation Level)

正式O

暫定T

非公式W

なしU

情報の信頼性情報信頼性 (RC Report Confidence)

- 未確認UC

未確証UR

確認済C

危険小危険大

※すべての項目で未評価(ND：この項目を評価しない)という選択肢があります。

59



http://www.kb.cert.org/vuls/id/310500

記載例

CVSS現状値を公表しているサイトは少ない状況60


自組織への影響とは？

社内で広く使っている製品に脆弱性が発見基幹業務に直結する業務へ与える影響が大きい

小

大

基幹システム部内システム

OROR

メジャーアプリケーション

独自アプリケーション

CVSS環境評価～自組織への影響を評価する～

61



CVSS環境評価～自組織への影響を評価する～

評価項目選択肢

影響範囲

システムからの二次的被害の可能性二次的被害(CDP Collateral Damage Potential)

なしN

軽微L

中程度LM

重大MH

壊滅的H

システムの影響範囲システム範囲(TD Target Distribution)

- なしN

小規模L

中規模M

大規模H

情報の重要度

システムにおける機密性の重要度機密性の要求度(CR Confidentiality Requirement)

- - 低L

中M

高H

システムにおける完全性の重要度完全性の要求度(IR Integrity Requirement)

- - 低L

中M

高H

システムにおける可用性の重要度可用性の要求度(AR Availability Impact)

- - 低L

中M

高H

【用語説明】二次的被害：物理的な機器への被害や、生活基盤、身体などへ及ぼす被害のこと機密性：機密情報が漏えいしないこと完全性：情報が改ざんされないこと可用性：業務が遅延・停止しないこと

危険小危険大

CVSS環境評価は自組織内で行う必要がある

システムの重要度などによって環境評価値は変化62


情報の絞込み

Step3 自組織への影響を分析する自組織への影響を分析するにはどうすれば良いのか？

流れは以下の通り

Ｓｔｅｐ１

脆弱性の危険度を確認

Ｓｔｅｐ２

自組織への影響を分析

Ｓｔｅｐ３

＞＞

脆弱性の特性や攻撃状況を確認

自組織に関連する情報を抽出

全ての情報

必要

自組織のリスクを考慮した対策を実施

緊急後でも

63


脆弱性がもたらす影響を考えて見よう

同じ脆弱性であっても与えるインパクトは異なる

組織のビジネスインパクトを勘案した対策が必要

受発注システム部内システム利用者利用者

システム形態：対外的サービス利用者：5,000人取扱いデータ：卸売り価格

システム形態：スケジュール管理利用者：部員20名取扱いデータ：個人スケジュール

自組織への深刻度を考えてみる～システムによって想定される被害は異なる～

64


システム単位に脆弱性による影響を評価

システムの重要度と照らし合わせて評価

影響度の高いものを重点的に対策する

組織へのビジネスインパクトを勘案した対策

ポイント

組織の環境に応じた脆弱性対策とは～組織にとってクリティカルなダメージを回避する～

65


対応イメージ

開発元

脆弱性対策情報

公開

システム管理者

システム環境評価結果

基本値:「7.0」環境値:「9.0」

現状値:「7.0」

全体評価値:「9.0」

全体評価値の算出対策の可否や対策時期を判断する

公開された脆弱性の基本値と事前に準備した環境値（未評価も可）により、全体評価値を求める

CVSS環境評価の実施フロー～脆弱性情報を基に自システムの環境に当てはめて評価～

66


環境評価を行う単位を確定しておく

業務別管理者別サーバ別

対策実施も視野にいれて、評価の対象範囲を確定する（次ページにモデルケースを記載）

環境評価を行う評価単位について～自システムの環境に当てはめて評価をする前に～

ネットワーク別

67


評価単位のモデルケース

一部の項目（二次的被害）のみを評価する方法あり

環境評価を行う評価単位について～自システムの環境に当てはめて評価をする前に～

インターネット直結サーバ

クライアント

管理サーバ

イントラサーバ

インターネット

「二次的被害の可能性」のみを指定、で簡易に環境評価が可能

例：ネットワークの重要度を考慮して評価単位を決定（４種類に分割）

68


評価方法の詳細を下記URLで日本語解説（別添の印刷資料も参照ください）

http://www.ipa.go.jp/security/vuln/CVSS.html

資料案内～CVSSの評価方法詳細を説明～

69


４．ケーススタディによる理解

70


CVSSスコアの算出方法について

http://www.ipa.go.jp/security/vuln/CVSS.html

計算が大変そう・・・どうしたら簡単に計算ができるかな？

ケーススタディを行う前の準備～評価をするためにはCVSSスコアの算出が必要～

71


http://jvndb.jvn.jp/cvss/

現状評価基準

評価結果からスコアの自動計算が可能

ケーススタディを行う前の準備～CVSS計算ツールを使ってみる～

環境評価基準

基本評価基準

評価値（スコア）

リンクをクリック

72


スコア算出例（CVSS基本値）


73


スコア算出例（CVSS現状値と環境値）


74


１．既知の脆弱性が悪用されたケース• Apache Struts2の脆弱性について

２．ゼロデイの脆弱性が悪用されたケース• MS製品の画像処理に関する脆弱性について

ケーススタディによる理解～情報収集や分析を行ってみましょう～

実際のケースから、どういった情報が入手可能なのか、また分析結果はどうなるか、を見ていきます。

75


■ケーススタディ１

実際に既知の脆弱性が悪用されたケースを見てみましょう

76


既知の脆弱性が悪用されたケース～情報収集や分析を行ってみましょう～

例として、Apache Struts2の既知の脆弱性が悪用されたケースを見てみます。流れは以下

① ニュースサイトなどから悪用されている情報を入手する

② 関連情報をベンダサイトやセキュリティ関連のサイトから収集する

③ 収集した情報を分析して評価する

77


既知の脆弱性が悪用されたケース～① ニュースサイトなどから情報を入手する～

出典：日経BP社 ITpro

http://itpro.nikkeibp.co.jp/article/NEWS/20130718/492361/


■概要セキュリティベンダーのラックがオープソースのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用した攻撃が多数確認されているとして、緊急で注意喚起を発表した。

78


既知の脆弱性が悪用されたケース～② 関連情報を収集する～

出典：株式会社ラックhttp://www.lac.co.jp/security/alert/2013/07/18_alert_01.html

セキュリティ関連企業のサイト

79



https://struts.apache.org/release/2.3.x/docs/s2-016.html

開発ベンダのサイト

80



http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2251

海外データベースの情報(NVD)

81



http://osvdb.org/98445

海外データベースの情報(OSVDB)

■Exploit一覧（http://osvdb.org/documentation ページからリンクする説明資料から抜粋）

Exploit Public - エクスプロイトが公開されている

Exploit Private - エクスプロイトが存在するが公共や商業的な枠組みでは利用不可

Exploit Commercial - 商業的な枠組みのなかで顧客であれば利用可能

Exploit Rumored - 存在するとの噂があるが確認ができない

Exploit Unknown - 不明

Exploit Wormified - ワームやウイルスを介して拡散する

82


既知の脆弱性が悪用されたケース～③ 収集した情報を分析して評価する～

CVSS基本評価は？NVDの短縮表記は(AV:N/AC:M/Au:N/C:C/I:C/A:C)


攻撃の難易度


ローカルL

隣接N/WA

ネットワークN


高H

中M

低L


複数M

単一S

不要N



なしN

部分的P

全面的C


なしN

部分的P

全面的C


なしN

部分的P

全面的C

83



CVSS現状評価は？



未実証U

実証可P

攻撃可F

容易H


正式O

暫定T

非公式W

なしU


- 未確認UC

未確証UR

確認済C


収集情報を参考にして評価をしてみましょう（評価例は次ページ）

84






未実証U

実証可P

攻撃可F

容易H


正式O

暫定T

非公式W

なしU


- 未確認UC

未確証UR

確認済C


評価例）

85



CVSS環境評価は？



影響範囲


なしN

軽微L

中程度LM

重大MH

壊滅的H


- なしN

小規模L

中規模M

大規模H

情報の重要度


- - 低L

中M

高H


- - 低L

中M

高H


- - 低L

中M

高H

評価対象を「重要情報を保有する”インターネット直結サーバ”」として評価をしてみましょう（部分を評価します）

86






影響範囲


なしN

軽微L

中程度LM

重大MH

壊滅的H


- なしN

小規模L

中規模M

大規模H

情報の重要度


- - 低L

中M

高H


- - 低L

中M

高H


- - 低L

中M

高H

評価例）

87



CVSS計算ツールでスコアを算出します

（詳細はデモ実行もご参照ください）

88


CVSS環境値選択肢

7.0-10.0 即時に脆弱性対策を実施する

4.0-6.9 1ヶ月以内に対策を実施する

0.1-3.9 3ヶ月以内に対策を実施する

0.0 対策の必要なし

例）

対策への活用について組織へのクリティカルな影響を回避する

自組織のリソースで対応できる方針であること


89


■ケーススタディ２

実際にゼロデイの脆弱性が悪用されたケースを見てみましょう

90


ゼロデイの脆弱性が悪用されたケース～情報収集や分析を行ってみましょう～

２例目に、MS製品の画像処理の脆弱性がゼロデイ攻撃として悪用されたケースを見てみます。流れは以下

① ニュースサイトなどから悪用されている情報を入手する

② 関連情報をベンダサイトやセキュリティ関連のサイトから収集する

③ 収集した情報を分析して評価する

91


ゼロデイの脆弱性が悪用されたケース～① ニュースサイトなどから情報を入手する～

出典：アイティメディア株式会社 ITmedia

http://www.itmedia.co.jp/enterprise/articles/1311/06/news039.html


■概要米Microsoftのグラフィックスコンポーネントに未解決の脆弱性が見つかった。同社では不正なWordファイルを使ってこの問題を悪用しようとする標的型攻撃の発生を確認。

92


ゼロデイの脆弱性が悪用されたケース～② 関連情報を収集する～

出典：Microsoft

http://technet.microsoft.com/ja-jp/security/advisory/2896666

開発ベンダのサイトゼロデイ発生直後はCVSS基本値が不明

なケースが多い

93


ゼロデイの脆弱性が悪用されたケース～② 関連情報を収集する～

出典：Microsoft

https://support.microsoft.com/kb/2896666/ja

開発ベンダのサイト

94


ゼロデイの脆弱性が悪用されたケース～③ 収集した情報を分析して評価する～

CVSS基本評価は？


攻撃の難易度


ローカルL

隣接N/WA

ネットワークN


高H

中M

低L


複数M

単一S

不要N



なしN

部分的P

全面的C


なしN

部分的P

全面的C


なしN

部分的P

全面的C

ベンダ情報を参考にして評価をしてみましょう

95



CVSS基本評価は？


攻撃の難易度


ローカルL

隣接N/WA

ネットワークN


高H

中M

低L


複数M

単一S

不要N



なしN

部分的P

全面的C


なしN

部分的P

全面的C


なしN

部分的P

全面的C

評価例） 11/15時点のNVD情報から

96






未実証U

実証可P

攻撃可F

容易H


正式O

暫定T

非公式W

なしU


- 未確認UC

未確証UR

確認済C


収集情報を参考にして評価をしてみましょう（評価例は次ページ）

97






未実証U

実証可P

攻撃可F

容易H


正式O

暫定T

非公式W

なしU


- 未確認UC

未確証UR

確認済C


評価例）

98






影響範囲


なしN

軽微L

中程度LM

重大MH

壊滅的H


- なしN

小規模L

中規模M

大規模H

情報の重要度


- - 低L

中M

高H


- - 低L

中M

高H


- - 低L

中M

高H

評価対象を「重要情報を保有しない”クライアント”」として評価をしてみましょう（部分を評価します）

99






影響範囲


なしN

軽微L

中程度LM

重大MH

壊滅的H


- なしN

小規模L

中規模M

大規模H

情報の重要度


- - 低L

中M

高H


- - 低L

中M

高H


- - 低L

中M

高H

評価例）

100



CVSS計算ツールでスコアを算出します

（詳細はデモ実行もご参照ください）

101


最後に（補足）

「システムの影響範囲」で環境評価をする案もあります評価項目選択肢

影響範囲


なしN

軽微L

中程度LM

重大MH

壊滅的H


- なしN

小規模L

中規模M

大規模H

情報の重要度


- - 低L

中M

高H


- - 低L

中M

高H


- - 低L

中M

高H

「二次的被害」のみで評価 ⇒ 現状値を下限としたスコア値になる

「影響範囲」のみで評価 ⇒ 現状値を上限としたスコア値になる

システムの重要度にあわせた評価を実施することがポイント

102


５．CVSSバージョン3について

103


CVSSバージョン3について

開発の背景2007年にリリースされたバージョン2は、攻撃対象となる

ホストにおいての「脆弱性による深刻度」を評価

仮想化やサンドボックス化などが進んできていることから、利用状況の変化を取り込んだ仕様へ

バージョン3の特徴評価対象をホストからコンポーネントレベルに詳細化

⇒新しい基本評価項目の導入

開発の予定2013年5月新しい基本評価項目の導入検討完了

2014年6月バージョン3 リリース予定

104


CVSS V3新しい基本評価項目の導入

CVSS V2

攻撃の難易度

どこから攻撃可能であるか攻撃元区分 (AV: Access Vector)

攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC: Access Complexity)

攻撃するために認証が必要であるか攻撃前認証要否 (Au: Authentication)


機密情報が漏えいする可能性機密性への影響 (C: Confidentiality Impact)

情報が改ざんされる可能性完全性への影響 (I: Integrity Impact)

業務が遅延・停止する可能性可用性への影響 (A: Availability Impact)

CVSSV3

攻撃の難易度

どこから攻撃可能であるか攻撃元区分 (AV: Access Vector)

攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC: Attack Complexity)

攻撃する際に必要なユーザ関与レベルユーザ関与レベル (UI: User Interaction)

攻撃する際に必要な特権のレベル必要な特権レベル (PR: Privileges Required)

攻撃する際に必要な許可範囲のレベル許可範囲レベル (AS: Authorization Scope)


攻撃による影響範囲の拡大縮小影響範囲レベル (IS: Impact Scope)

機密情報が漏えいする可能性機密性への影響 (C: Confidentiality Impact)

情報が改ざんされる可能性完全性への影響 (I: Integrity Impact)

業務が遅延・停止する可能性可用性への影響 (A: Availability Impact)

105


CVSS V3新しい基本評価項目

攻撃する際に必要なユーザ関与レベルユーザ関与レベル (UI: User Interaction)脆弱性を攻撃するために必要となるユーザの関与レベルを評価します。

選択肢内容

不要(None)

ユーザが何もしなくても脆弱性が攻撃される可能性がある。

単純(Simple)

リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作が必要となる。

複雑(Complex)

設定の変更など、ユーザによる特別な動作が必要となる。

106



攻撃する際に必要な特権のレベル必要な特権レベル (PR: Privileges Required)脆弱性を攻撃するために必要となる攻撃者の特権レベルを評価します。

選択肢内容

不要(None Unprivileged)

攻撃者は、特別な権限や認証操作は必要としない。

低(Low)

攻撃者は、認証されており、基本的な操作ができる権限を必要とする。

高(High)

攻撃者は、認証されており、より権限を持った操作ができる必要がある。

完全(Complete)

攻撃者は、認証されており、完全に制御できる権限を必要とする。

107



攻撃する際に必要となる許可範囲のレベル許可範囲レベル (AS: Authorization Scope)脆弱性を攻撃するために必要となる攻撃者の許可レベルを評価します。

選択肢内容

狭い(Decreased)

脆弱性なコンポーネントを攻撃するためには、コンポーネントよりも狭い範囲で操作権限を保有していれば良い。

同じ(Component)

脆弱性なコンポーネントを攻撃するためには、コンポーネントの操作権限を保有していれば良い。

広い(Increased)

脆弱性なコンポーネントを攻撃するためには、コンポーネントよりも広い範囲での操作権限を保有している必要がある。

108



攻撃による影響範囲の拡大縮小影響範囲レベル (IS: Impact Scope)脆弱性への攻撃の結果、影響範囲が広がるのか、より小さい範囲に留まるのかを評価します。

選択肢内容

縮小(Decreased)

脆弱性なコンポーネントを攻撃したとしても、その影響は、コンポーネントよりも狭い範囲に留まる。

同じ(Component)

脆弱性なコンポーネントを攻撃した場合、その影響は、コンポーネントに対するものとなる。

拡大(Increased)

脆弱性なコンポーネントを攻撃した場合、その影響は、コンポーネントよりも広い範囲となる。

109


CVSS V3新しい基本評価項目を用いた事例

クロスサイトスクリプティング

攻撃元区分(Access Vector)

ネットワーク必要特権レベル

(Privileges Required)不要

完全性への影響(Integrity)部分的

可用性への影響(Availability)

部分的

機密性への影響(Confidentiality)

部分的攻撃条件の複雑さ(Attack Complexity)

低ユーザ関与レベル(User Interaction)

単純

許可範囲レベル(Authorization Scope)

同じ

影響範囲レベル(Impact Scope)

拡大

Webアプリケーション

Webブラウザ

攻撃者

110


CVSS V3新しい基本評価項目を用いた事例

ハイパーバイザー経由でのゲストOSからホストOSへのDoS

攻撃元区分(Access Vector)

ローカル必要特権レベル

(Privileges Required)高

完全性への影響(Integrity)

なし可用性への影響

(Availability)全面的

機密性への影響(Confidentiality)

なし攻撃条件の複雑さ(Attack Complexity)

中ユーザ関与レベル(User Interaction)

不要

許可範囲レベル(Authorization Scope)

狭い

影響範囲レベル(Impact Scope)

拡大

ゲストOS

ホストOS

ハイパーバイザ

攻撃者

111


６．IPAのツールを利用した脆弱性対策

112


時間とともに増えるリスク～時間と共に情報システムが攻略されるリスクが増大～

脆弱性は、日々公開されており、時間と共に情報システムの安全性が低下している

113


日々公表されている脆弱性情報～公式な脆弱性だけで年間5,000件が公開されている～

IPA「脆弱性対策情報データベースJVN iPediaの登録状況 [2013年第3四半期（7月～9月）]」http://www.ipa.go.jp/security/vuln/report/JVNiPedia2013q3.html

累計41,816件（2013年9月末）

月平均420件

114


優先度を付けて対策する～脆弱性の持つ危険度を見極めよう～





最も深刻度が高い情報

被害を防ぐ為には、深刻度の高い脆弱性を解消していくことが重要

115


自組織で利用しているソフトウェア全てに対策

モデル①：使用中の全ソフトウェアに対策～自組織で利用しているソフトウェアの情報を集めよう～

①使用しているソフトウェアのリスト化

②脆弱性対策情報の日々の収集③対策の実施

最もリスクを低減できる確実な方法

対策に掛かるコストを考慮しておく必要あり116


モデル①：使用中の全ソフトウェアに対策～MyJVN 情報収集ツールを使い必要な情報のみ収集～

117

http://jvndb.jvn.jp/apis/myjvn/mjcheck.htmlMyJVN 情報収集ツールを使った情報収集

収集対象のソフトウェアをリスト化しておく

リスト化した対象ソフトウェアのみ表示

117








モデル②：深刻度の高い脆弱性に限定～深刻度の高い脆弱性に限定した収集～

118


技術的な深刻度が高い脆弱性に限定した対策

脆弱性と言っても、引き起される事象は様々

インターネット越しにリモートコントロールできる・・・危険大

ローカル環境でパソコンをフリーズさせる・・・危険小


深刻度が高い物に限定することで、コスト削減

リスクが残る点は、認識しておく必要あり

危険大危険中危険小

対象

119


JVN iPediaにおける深刻度の記載URL：http://jvndb.jvn.jp/

CVSSに基づく、脆弱性の技術的な危険度（CVSS基本値）を記載


120


モデル②：深刻度の高い脆弱性に限定～MyJVN 情報収集ツールを使い必要な情報のみ収集～

深刻度をフィルタ条件に加える

フィルタ条件に深刻度を設定するフィルタ条件に従った

結果が表示される

高： 7.0～10.0中： 4.0～6.9低： 0.0～3.9

http://jvndb.jvn.jp/apis/myjvn/mjcheck.html

121








モデル③：攻撃に悪用され易い脆弱性を対策～最も迅速さが求められる脆弱性から対策～

122


攻撃に悪用されやすい脆弱性とは？クライアント環境

Adobe Reader、Adobe Flash Player、ブラウザ関連…

サーバ(Web)環境

BIND、Apache、Apache Tomcat、CMS関連･･･

OS関連

Microsoft Windows、Android、iOS・・・

モデル③：攻撃に悪用され易い脆弱性を対策～最も迅速さが求められる脆弱性から対策～

過去･現在の攻撃実績から対象を絞る方式

他のソフトウェアが狙われるリスクは残存する123


重要なセキュリティ情報の活用

モデル③：攻撃に悪用され易い脆弱性を対策～IPA「重要なセキュリティ情報」の発信情報を基に対策～

https://www.ipa.go.jp/https://www.ipa.go.jp/security/rss/alert.rdf

https://www.jpcert.or.jp/at/2013.htmlJPCERT/CCの情報と合せると、より効果的

124


「重要なセキュリティ情報」とは（抜粋）http://www.ipa.go.jp/security/announce/about.html

モデル③：攻撃に悪用され易い脆弱性を対策～IPA「重要なセキュリティ情報」の発信情報を基に対策～

125


サイバーセキュリティ注意喚起サービス「icat」

IPAが発信する「重要なセキュリティ情報」をリアルタイムに同期できます

社内のポータルサイトなどにHTMLタグを埋込んでご利用ください

利用時に埋め込むHTMLタグは以下

＜表示例＞

モデル③：攻撃に悪用され易い脆弱性を対策～サイバーセキュリティ注意喚起サービスを利用した対応～

126


リアルタイムで表示し、迅速な対応を支援

モデル③：攻撃に悪用され易い脆弱性を対策～サイバーセキュリティ注意喚起サービスを利用した対応～

＜例：利用前のサイト＞

＜icat利用後のイメージ＞

出典：IPA https://isec-portal.ipa.go.jp/supportsecurity/act001/core/scrtySprtToolPortal/

127


最後に

脆弱性対策は日々情報の収集が重要です。

脆弱性に対して適切な対応をとっていきましょう。

128


Q & A

129

脆弱性対策の効果的な進め方� ～深刻度を評価する「CVSS」を利用した脆弱性対策について～講義内容スライド番号 3脆弱性とは？脆弱性を取り巻く環境の変化�～様々な分野に広がっていく脆弱性～脆弱性を取り巻く環境の変化�～様々な分野に広がっていく脆弱性～脆弱性を取り巻く環境の変化�～海外では脆弱性売買が行われている～脆弱性と攻撃の関係脆弱性と攻撃の関係　(平時)�～脆弱性対策は、どのようにして行われるのか？～脆弱性と攻撃の関係　(平時)�～攻撃者は、どのように脆弱性を悪用するのか？～脆弱性と攻撃の関係　(緊急時)�～攻撃は、どのようにして行われるのか？～脆弱性と攻撃の関係　(緊急時)�～攻撃者は、どのように脆弱性を悪用するのか？～脆弱性と攻撃の関係　(平時→緊急)�～攻撃は、どのようにして行われるのか？～事例紹介①�～ゼロデイ攻撃と既知の脆弱性の悪用比率～事例紹介②�～サーバ系ソフトの既知の脆弱性を悪用した事例～事例紹介③�～クライアント系ソフトの既知の脆弱性を悪用した事例～まとめ�～脆弱性を悪用した攻撃の特徴～スライド番号 18脆弱性関連情報の収集脆弱性関連情報カテゴリ情報収集に役立つキーワードについて知ろう知っていますか？CVE,CVSS,CWEスライド番号 23スライド番号 24CVSSとは�～脆弱性の深刻度を数値で表現する～�CVSSとは�～脆弱性の深刻度を数値で表現する～�CWEとは�～脆弱性のタイプを体系立てて分類した指標～CWEとは�～主要な脆弱性タイプ一覧～情報収集先サイト脆弱性情報データベース(1)脆弱性情報データベース(2)脆弱性情報データベース(3)脆弱性情報データベース(4)脆弱性情報データベース(5)注意喚起サイト (1)注意喚起サイト (2)注意喚起サイト (3)注意喚起サイト (4)注意喚起サイト (5)ニュースサイト製品ベンダーサイト(1)製品ベンダーサイト(2)製品ベンダーサイト(3)製品ベンダーサイト(4)/その他スライド番号 45スライド番号 46スライド番号 47スライド番号 48スライド番号 49スライド番号 50スライド番号 51スライド番号 52スライド番号 53スライド番号 54スライド番号 55スライド番号 56スライド番号 57スライド番号 58スライド番号 59スライド番号 60スライド番号 61スライド番号 62スライド番号 63スライド番号 64スライド番号 65スライド番号 66スライド番号 67スライド番号 68スライド番号 69スライド番号 70スライド番号 71スライド番号 72スライド番号 73スライド番号 74スライド番号 75■ケーススタディ１��実際に既知の脆弱性が悪用されたケース�を見てみましょうスライド番号 77スライド番号 78スライド番号 79スライド番号 80スライド番号 81スライド番号 82スライド番号 83スライド番号 84スライド番号 85スライド番号 86スライド番号 87スライド番号 88スライド番号 89■ケーススタディ２��実際にゼロデイの脆弱性が悪用されたケース�を見てみましょうスライド番号 91スライド番号 92スライド番号 93スライド番号 94スライド番号 95スライド番号 96スライド番号 97スライド番号 98スライド番号 99スライド番号 100スライド番号 101スライド番号 102スライド番号 103CVSSバージョン3についてCVSS V3�新しい基本評価項目の導入CVSS V3�新しい基本評価項目CVSS V3�新しい基本評価項目CVSS V3�新しい基本評価項目CVSS V3�新しい基本評価項目CVSS V3�新しい基本評価項目を用いた事例CVSS V3�新しい基本評価項目を用いた事例スライド番号 112時間とともに増えるリスク�～時間と共に情報システムが攻略されるリスクが増大～日々公表されている脆弱性情報�～公式な脆弱性だけで年間5,000件が公開されている～優先度を付けて対策する�～脆弱性の持つ危険度を見極めよう～モデル①：使用中の全ソフトウェアに対策�～自組織で利用しているソフトウェアの情報を集めよう～モデル①：使用中の全ソフトウェアに対策�～MyJVN 情報収集ツールを使い必要な情報のみ収集～モデル②：深刻度の高い脆弱性に限定�～深刻度の高い脆弱性に限定した収集～モデル②：深刻度の高い脆弱性に限定�～深刻度の高い脆弱性に限定した収集～モデル②：深刻度の高い脆弱性に限定�～深刻度の高い脆弱性に限定した収集～モデル②：深刻度の高い脆弱性に限定�～MyJVN 情報収集ツールを使い必要な情報のみ収集～モデル③：攻撃に悪用され易い脆弱性を対策�～最も迅速さが求められる脆弱性から対策～モデル③：攻撃に悪用され易い脆弱性を対策�～最も迅速さが求められる脆弱性から対策～モデル③：攻撃に悪用され易い脆弱性を対策�～IPA「重要なセキュリティ情報」の発信情報を基に対策～スライド番号 125スライド番号 126スライド番号 127スライド番号 128スライド番号 129

～深刻度を評価する「cvss」を利用した脆弱性対策について ...活用例...

Documents