~深刻度を評価する「cvss」を利用した脆弱性対策について ...活用例...
TRANSCRIPT
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性対策の効果的な進め方~深刻度を評価する「CVSS」を利用した脆弱性対策について~
独立行政法人情報処理推進機構 (IPA)技術本部 セキュリティセンター
2013年11月22日
-
Copyright © 2013 独立行政法人情報処理推進機構
講義内容
1.脆弱性と攻撃の傾向
2.脆弱性関連情報の収集
3.CVSSを利用した自組織への影響分析
4.ケーススタディによる理解
5.CVSSバージョン3について
6.IPAのツールを利用した脆弱性対策
2
-
Copyright © 2013 独立行政法人情報処理推進機構
1.脆弱性と攻撃の傾向
3
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性とは?
脆弱性とは、ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所
脆弱性の定義
簡単に言うと
攻撃によりシステムが攻略される可能性
セキュリティ被害をもたらす危険要素
攻撃を受ければ被害、受けなければ無害
(出典:情報セキュリティ早期警戒パートナーシップガイドライン)
4
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性を取り巻く環境の変化~様々な分野に広がっていく脆弱性~
デバイスのスマート化、制御系のオープン化による新たな脆弱性
情報システム脅威:情報窃取、破壊、妨害
メディカルデバイスの脅威:身体への影響懸念
制御系システムの脅威:社会インフラへの影響5
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性を取り巻く環境の変化~様々な分野に広がっていく脆弱性~
産業用制御システムの脆弱性公開状況
文化の異なるシステムへの脆弱性対策のあり方
パッチ配信方式、適用方式などの課題も多い
参照元:脆弱性対策情報データベースJVN iPediaの登録状況[2013年第1四半期(1月~3月)]
6
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性を取り巻く環境の変化~海外では脆弱性売買が行われている~
脆弱性発見者に報奨金を支払う制度が一般化
Microsoft,Google,Mozilla,PayPalなどが採用
脆弱性種別によっては、最大10万$の報奨金
脆弱性発見を専門とする企業出現(ビジネス化)
報奨金を競うコンテストも開かれている
脆弱性情報を提供
報奨金
7
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性と攻撃の関係
脆弱性を構成する要素(脆弱性関連情報)
攻撃コードの悪用が脆弱性を狙った攻撃となる
開発元は、攻撃を無効にする対策を提供
脆弱性を含んだソフトウェア攻撃コード(Exploit)
対策パッチ(情報)
一対の関係
一対の関係一対の関係
8
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性と攻撃の関係 (平時)~脆弱性対策は、どのようにして行われるのか?~
製品開発元が発見
開発元
対策バージョンの提供
対策バージョン
善意な第三者による発見
開発元
対策バージョンの提供
対策バージョン善意な第三者
情報通知
脆弱性情報が安全に流通されたケース
上記パターンは、最も危険度の小さいケース9
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性と攻撃の関係 (平時)~攻撃者は、どのように脆弱性を悪用するのか?~
対策の後に攻撃が発生
悪意のある人
攻撃ステージ
攻撃準備
対策パッチ提供 攻撃発生脆弱性発見
パッチを解析して攻撃コードを生成
既知の脆弱性を悪用した攻撃
攻撃者はパッチ情報を解析して攻撃コード作成
タイムリーに脆弱性対策を行うことが重要
10
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性と攻撃の関係 (緊急時)~攻撃は、どのようにして行われるのか?~
攻撃情報により脆弱性が発覚
開発元
悪意のある人③攻撃情報から脆弱性を認識
攻撃により脆弱性の存在を認識するケース
多数の被害を出す事故に発展するケース
①脆弱性発見
②攻撃の実施⑤対策バージョンの提供
対策バージョン
④確認・パッチ生成
11
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性と攻撃の関係 (緊急時)~攻撃者は、どのように脆弱性を悪用するのか?~
脆弱性発見 対策パッチ提供緩和策提供脆弱性認識攻撃発生
対策よりも攻撃が先に発生
悪意のある人
攻撃準備 攻撃ステージ
開発元
対策準備 対策情報提供
ゼロデイ(対策前に攻撃が行われる)
12
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性と攻撃の関係 (平時→緊急)~攻撃は、どのようにして行われるのか?~
攻撃コードが公開される
開発元
善意な第三者
攻撃コードの共有
攻撃コードが公開されることで、緊急度がUP
攻撃コード公開で、攻撃者が増え、大規模攻撃へ
悪意のある人 攻撃コード公開 脆弱ソフトウェア
大規模な攻撃に
13
-
Copyright © 2013 独立行政法人情報処理推進機構
事例紹介①~ゼロデイ攻撃と既知の脆弱性の悪用比率~
出典: IBM Security Services「2012 上半期 Tokyo SOC 情報分析レポート」http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf
メールに添付されていた不正なファイルの拡張子 ドキュメント・ファイルを悪用する脆弱性の割合
世の中の大半は既知の脆弱性の悪用が横行
標的型メール攻撃を例にとった脆弱性の分類比率
14
-
Copyright © 2013 独立行政法人情報処理推進機構
事例紹介②~サーバ系ソフトの既知の脆弱性を悪用した事例~
Apache Struts2 の脆弱性(S2-016)を悪用した攻撃
脆弱性対策情報公開後に攻撃が急増
著名なソフトウェアは、常に攻撃に晒されている
出典:株式会社 ラック
特別なHTTPリクエストをApache Struts2上で動作しているWebアプリケーションに対して送信することで、任意のJavaコードが実行される問題
15
-
Copyright © 2013 独立行政法人情報処理推進機構
事例紹介③~クライアント系ソフトの既知の脆弱性を悪用した事例~
ドライブバイダウンロードにみる脆弱性公開と攻撃の関係1/15
JRE公開
2/5JRE公開(ゼロデイ)
2/20JRE公開
5/15Adobe公開
立て続けに脆弱性公開と攻撃が続いている
ゼロデイ攻撃の場合、公開直前に攻撃ピーク
出典:「2013年 上半期 Tokyo SOC 情報分析レポート」http://www935.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf
16
-
Copyright © 2013 独立行政法人情報処理推進機構
まとめ~脆弱性を悪用した攻撃の特徴~
攻撃コードが出回ると攻撃が急増
脆弱性公開直後から攻撃が急増傾向に
既知の脆弱性が狙われる割合が高い
攻撃手法が共通である為、大規模攻撃に
脆弱性と攻撃の関係
タイムリーな対策が重要
17
-
Copyright © 2013 独立行政法人情報処理推進機構
2.脆弱性関連情報の収集
18
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性関連情報の収集
脆弱性関連情報の収集とは?
外部の情報を収集し、自組織の対策に役立てる
システム管理者
製品ベンダー注意喚起サイトニュースサイト脆弱性DB
脅威傾向
脆弱性対策を行う為に、対策の判断要素となる情報19
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性関連情報カテゴリ
情報種別と対策の考え方 一例
対策判断を行う為に、どのような情報を掴めば良いのか?
迅速に対策を実施する為に判断材料となる情報を収集
対象情報 情報の意味合い 活用例
脆弱性対策情報 被害を受けるポテンシャル
・脆弱性の深刻度の調査・当該製品の脆弱性対策
攻撃情報 実際に行われている事象 ・自組織の対策状況のチェック・攻撃有無のチェック
脅威傾向 攻撃者の狙い・傾向 ・中期的なセキュリティ対策の立案
20
-
Copyright © 2013 独立行政法人情報処理推進機構
情報収集に役立つキーワードについて知ろう
21
-
Copyright © 2013 独立行政法人情報処理推進機構
知っていますか?CVE,CVSS,CWE
効率的に進める為に有効なキーワード
・・・脆弱性を一意に識別する番号
・・・脆弱性の種別を体系的に分類
・・・脆弱性の影響度を評価する数値指標
注意喚起や脆弱性レポート等でも使用されている
22
-
Copyright © 2013 独立行政法人情報処理推進機構
世間で公表されている脆弱性に割り当てられた識別番号。脆弱性を一意に特定することを可能とする
Common Vulnerabilities and Exposures
(共通脆弱性識別子)
プログラム上のセキュリティ問題に一意の番号(CVE識別番号)を付与して管理
CVEとは~脆弱性に番号を割当て、一意に識別することを可能にする~
ベンダー情報) ISC
CVE識別番号の構成
CVE-2012-1000西暦 連番
2014年1月~最大7桁に
CVE-2012-3413CVE-2012-10000CVE-2012-100000CVE-2012-1000000
23
-
Copyright © 2013 独立行政法人情報処理推進機構
CVEの採番方法新規脆弱性毎にMITRE 社(*1)に申請、または
米国MITRE社に認定されたCNA (CVE Numbering Authority, CVE 採番機関)から割り当て
参考URL) http://cve.mitre.org/cve/cna.html
MITRE Corporation
Apple Inc. JPCERT/CCAdobe
Systems Incorporated
Google Inc. Oracle ・・・
Primary CNA
CVE
CVE番号群
ソフトウェアベンダーや第三者調整機関など計24組織
CVE番号群
CVE番号群
CVE番号群
CVE番号群
日本
(*1)MITRE Corporation:米国政府向けの技術支援や研究開発を行う非営利組織。
CVEとは~採番方法の仕組み~
24
-
Copyright © 2013 独立行政法人情報処理推進機構
Common Vulnerability Scoring System
(共通脆弱性評価システム)
脆弱性の深刻度を0.0~10.0のスコアで評価
CVSSとは~脆弱性の深刻度を数値で表現する~
出典:Oracle
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html
CVE番号
CVSS値
25
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS のスコアにより、脆弱性の深刻度を評価
CVSSとは~脆弱性の深刻度を数値で表現する~
深刻度 CVSS値
レベルⅢ(危険)
7.0~10.0
レベルⅡ(警告)
4.0~6.9
レベルⅠ(注意)
0.0~3.9
脆弱性の深刻度を表すバロメータとして、CVSSが活用されている
26
-
Copyright © 2013 独立行政法人情報処理推進機構
CWEとは~脆弱性のタイプを体系立てて分類した指標~
Common Weakness Enumeration
(共通脆弱性タイプ一覧)
脆弱性を種別毎に分類CWE 番号体系 利用例(JVN iPedia)
27
-
Copyright © 2013 独立行政法人情報処理推進機構
CWEとは~主要な脆弱性タイプ一覧~
主な脆弱性タイプとCWE識別子番号
28
-
Copyright © 2013 独立行政法人情報処理推進機構
情報収集先サイト
29
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性情報データベース(1)
JVN (Japan Vulnerability Notes)URL:http://jvn.jp/
国内外の脆弱性対策情報を日本語に翻訳して公開
JPCERT/CC、IPAが運営するサイト
情報セキュリティ早期警戒パートナーシップで対応の「脆弱性対策情報ポータル」
国内製品開発者の対応情報が掲載
海外のCERTから展開される脆弱性関連情報が掲載
掲載された情報がニュース記事等に掲載される
30
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性情報データベース(2)
JVN iPediaURL:http://jvndb.jvn.jp/
国内外の脆弱性対策情報を収集したディクショナリデータベース
IPAが運営するサイト 国内ベンダーと連携を
し、脆弱性対策情報を公開
海外の脆弱性DB(NVD)の情報を日本語翻訳して公開
約42,000件の脆弱性対策情報を登録
31
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性情報データベース(3)
NVD(National Vulnerability Database)URL:http://nvd.nist.gov/
NISTが運営する元祖脆弱性対策データベース
米国標準技術研究所(NIST)が運用
CVE識別番号で管理されている
データベース検索機能、統計機能を備えている
約59,000件の脆弱性対策情報を登録
情報は全て英語
32
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性情報データベース(4)
SecurityFocusURL:http://www.securityfocus.com/
脆弱性の攻略情報を付加したデータベース
SecurityFocusが運用 脆弱性情報などの交
換が行われているBugtraqと親和性が高い
脆弱性の攻略に関する情報(exploit)を掲載
攻撃に悪用されるような重要な脆弱性情報にフォーカスを当てている
33
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性情報データベース(5)
OSVDB(Open Sourced Vulnerability Database)URL:http://www.osvdb.org/
オープンソース型で運用されているデータベース
非営利団体で運営する脆弱性対策データベース
攻撃情報の有無など掲載している
約10万件のデータが登録されている
34
-
Copyright © 2013 独立行政法人情報処理推進機構
注意喚起サイト (1)
JPCERT/CC 注意喚起URL:http://www.jpcert.or.jp/at/
JPCERT/CCからの注意喚起
官公庁系を含めて国内で広く参照されている
注意喚起の大半は、マイクロソフト月例、Oracle、Adobeに関する情報
35
-
Copyright © 2013 独立行政法人情報処理推進機構
注意喚起サイト (2)
IPA:重要なセキュリティ情報URL:http://www.ipa.go.jp/security/announce/alert.html
IPAからの注意喚起
JVNに掲載された情報 マイクロソフト、Oracle、
Adobe等の緊急度の高い脆弱性情報を発信
攻撃の有無を掲載 ウェブサイト改ざん等の攻
撃の傾向について発信
36
-
Copyright © 2013 独立行政法人情報処理推進機構
注意喚起サイト (3)
警察庁:重要なセキュリティ情報URL:http://www.npa.go.jp/cyberpolice/important/topics-bn.htm
警察庁@police
マイクロソフト、Oracle、Adobe等の緊急度の高い脆弱性情報を発信
定点観測情報等から攻撃傾向などの情報を発信
不正アクセス事案などの情報も発信
37
-
Copyright © 2013 独立行政法人情報処理推進機構
注意喚起サイト (4)
米国:US-CERTURL:http://www.us-cert.gov/ncas
米国:US-CERT
米国:US-CERTが運営する情報
「現在注目するセキュリティ」、「注意喚起」、「週間レポート」を掲載
米国発の攻撃や脆弱性情報など多数掲載されている
38
-
Copyright © 2013 独立行政法人情報処理推進機構
注意喚起サイト (5)
米国:ICS-CERTURL:http://ics-cert.us-cert.gov/
米国:ICS-CERT
米国:ICS-CERTが運営する情報
制御系システムに関連した製品の脆弱性を公開
「注意喚起(Alerts)」と「脆弱性対策情報(Advisories)」を発信
39
-
Copyright © 2013 独立行政法人情報処理推進機構
ニュースサイト
国内ニュースメディアCNET ニュース:セキュリティ
http://japan.cnet.com/news/sec/
ITmedia エンタープライズ セキュリティhttp://itmedia.co.jp/enterprise/security/
ITpro セキュリティhttp://itpro.nikkeibp.co.jp/security/index.html
海外ニュースメディアComputerWorld Security (米国中心)
http://www.computerworld.com/
The Register (英国・欧州中心)http://www.theregister.co.uk/security/
メディアが効率よく情報を拾ってくれる
40
-
Copyright © 2013 独立行政法人情報処理推進機構
製品ベンダーサイト(1)
定例アップデート提供マイクロソフト TechCenter (毎月第2火曜日 更新)
http://technet.Microsoft.com/ja-jp/security/default.aspx
オラクル Critical Patch Update (年4回 1,4,7,10 17日に近い火曜日)http://www.oracle.com/technetwork/jp/topics/security/alerts-082677-ja.html
クライアント系アップル
http://support.apple.com/kb/HT1222?viewlocale=ja_JP
アドビ (Adobe Reader/Adobe Flash Player など)http://www.adobe.com/jp/support/security/
Mozilla (FireFox/ThunderBird など)http://www.mozilla-japan.org/security/known-vulnerabilities/
使用している製品の脆弱性対策に
41
-
Copyright © 2013 独立行政法人情報処理推進機構
製品ベンダーサイト(2)
サーバ、ネットワーク製品系シスコ – セキュリティアドバイザリ
http://www.cisco.com/cisco/web/support/JP/loc/security/index.html
Hewlett-Packardhttps://h20566.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/secBullArchive
日立 –セキュリティ情報http://www.hitachi.co.jp/hirt/security/index.html
IBM –重要なセキュリティ情報http://www-06.ibm.com/jp/services/security/info/index.html
Red Hat – Erratahttps://rhn.redhat.com/errata/
使用している製品の脆弱性対策に
42
-
Copyright © 2013 独立行政法人情報処理推進機構
製品ベンダーサイト(3)
セキュリティ製品系シマンテック –セキュリティアップデートhttp://www.Symantec.com/ja/jp/security_response/securityupdates/list.jsp?fid=security_advisory
オープンソース系 Apache Foundation
http://httpd.apache.org/ (Apache HTTPサーバ)
http://tomcat.apache.org/ (Apache Tomcat)
http://Struts.apache.org/ (Apache Struts)
ISC(Internet Systems Consortium)http://www.isc.org/downloads/bind/ (BIND)
http://www.isc.org/downloads/dhcp/(DHCP)
OpenSSLhttp://www.openssl.org/
使用している製品の脆弱性対策に
43
-
Copyright © 2013 独立行政法人情報処理推進機構
製品ベンダー サイト(4)/その他
オープンソース系OpenSSL
http://www.openssl.org/
OpenSSHhttp://www.openssh.org/
Sambahttp://www.samba.org/
その他ラック 注意喚起情報
http://www.lac.co.jp/security/alert/index.html
IBM Tokyo SOC Reporthttps://www-304.ibm.com/connections/blogs/Tokyo-soc/?lang=ja_jp
使用している製品の脆弱性対策に
幅広く情報を収集して、効率的な対策に結びつける44
-
Copyright © 2013 独立行政法人情報処理推進機構
3.CVSSを利用した自組織への影響分析
45
-
Copyright © 2013 独立行政法人情報処理推進機構
情報の絞込み
収集した情報について自組織への影響を分析するにはどうすれば良いのか?
流れは以下の通り
Step1
脆弱性の危険度を確認
Step2
自組織への影響を分析
Step3
> >
脆弱性の特性や攻撃状況を確認
自組織に関連する情報を抽出
全ての情報
必要
自組織のリスクを考慮した対策を実施
緊急後でも
46
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性を危険度や攻撃状況で分類すると
組織に必要な情報を収集することが重要
Step1 情報の絞込み~攻撃の状況や組織への影響を考慮した収集を~
脆弱性対策情報(全件)
自組織で利用しているソフトウェア(対策すべき最大範囲)
技術的危険度が高い
攻撃に悪用される可能性が高い
47
-
Copyright © 2013 独立行政法人情報処理推進機構
収集時のポイント
緊急度や重要度を加味した情報収集が有効
• 自組織に関連する情報か利用のソフトウェアやバージョンが収集情報と一致するか
• 被害を受けた場合の影響は大きいか漏えいや改ざんなどが発生すると業務への影響大、など
• 既に攻撃が行われているか攻撃が蔓延、など被害が発生する可能性は高いか
Step1 情報の絞込み~緊急度や重要度を加味した情報収集を~
48
-
Copyright © 2013 独立行政法人情報処理推進機構
Step2 脆弱性の危険度を確認~脆弱性の危険度を確認する際のポイント~
1.脆弱性固有の危険性(攻撃の難易度や影響度)はどの程度か?
2.攻撃が蔓延するなど、いつ被害を受けてもおかしくない状況か?
3.自組織のシステムで考えた場合、どの程度危険なのか?
脆弱性によるシステムへの影響評価指標
ポイント
49
-
Copyright © 2013 独立行政法人情報処理推進機構
Step2 脆弱性の危険度を確認~危険度の確認はCVSS利用が効果的~
1.複数のベンダやセキュリティ関連企業がCVSSを採用、危険度や緊急度の指標として利用可
2.脆弱性固有の危険性の内容が把握可(攻撃の難易度や影響度がわかる)
3.自組織の環境を評価することで、対策時の優先順位付けが可能
CVSSを利用するメリット
CVSSの評価方法を理解すると、脆弱性関連情報の収集や分析に活用できます
50
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSSの考え方~攻撃状況やシステムの重要度を加味した評価~
脆弱性の深刻度を表す評価「技術的観点」×「攻撃状況」×「システムの重要度」
例えば「”バッファオーバフロー”」 × 「攻撃観測なし」 × 「内部システム」
=深刻度 低
「”クロスサイトスクリプティング“」 × 「攻撃観測あり」 × 「対外システム」
=深刻度 高
何が引起されるか? 既に攻撃されている?対策パッチは出ている?
システムの重要度は?
51
-
Copyright © 2013 独立行政法人情報処理推進機構
評価方法は公開されており、だれでもCVSSスコアを採点することができます
基本評価基準(0.0 ~ 10.0)
現状評価基準(0.0 ~ 10.0)
環境評価基準(0.0 ~ 10.0)
※現状評価基準および環境評価基準は、基本評価基準を元に算出されます※現状評価を最大と仮定して環境評価を行うことも可能です
CVSSとは~評価基準一覧~
脆弱性の技術的な特性を評価例: システムの乗っ取りが可能なら危険大例: システムへの影響が小さく攻撃方法が難しければ危険小
ある時点における脆弱性を取巻く状況を評価例: ゼロデイ攻撃があれば危険大例: 攻撃コードが利用不可で正式な対策情報が存在すれば危険小
その利用者における問題の大きさを評価例: 社内の基幹システムで利用なら危険大例: 攻撃を受けた場合でも被害が少なければ危険小
52
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS基本評価~脆弱性の技術的な特性を評価する~
脆弱性の技術的な特性とは?
インターネット
OR
攻撃の難易度
攻撃によりシステムが受ける影響
53
-
Copyright © 2013 独立行政法人情報処理推進機構
評価項目 選択肢・ポイント
攻撃の難易度
どこから攻撃可能であるか攻撃元区分 (AV Access Vector)
ローカルL
隣接N/WA
ネットワークN
攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC Access Complexity)
高H
中M
低L
攻撃するために認証が必要であるか攻撃前認証要否 (Au Authentication)
複数M
単一S
不要N
攻撃による影響
機密情報が漏えいする可能性機密性への影響 (C Confidentiality Impact)
なしN
部分的P
全面的C
情報が改ざんされる可能性完全性への影響 (I Integrity Impact)
なしN
部分的P
全面的C
業務が遅延・停止する可能性可用性への影響 (A Availability Impact)
なしN
部分的P
全面的C
危険小 危険大
ベンダやセキュリティ関連企業が評価をしている
時間や環境が変化しても評価結果は変わらない
CVSS基本評価~脆弱性の技術的な特性を評価する~
54
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS基本評価~脆弱性の技術的な特性を評価する~
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3906
CVSSのパラメータは短縮表記も可能
パラメータを見ることで脆弱性の特性が把握可能55
-
Copyright © 2013 独立行政法人情報処理推進機構
例:脆弱性固有の特性を見てみる短縮表記が(AV:N/AC:L/Au:N/C:P/I:N/A:N)の場合
評価項目 選択肢・ポイント
攻撃の難易度
どこから攻撃可能であるか攻撃元区分 (AV Access Vector)
ローカルL
隣接N/WA
ネットワークN
攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC Access Complexity)
高H
中M
低L
攻撃するために認証が必要であるか攻撃前認証要否 (Au Authentication)
複数M
単一S
不要N
攻撃による影響
機密情報が漏えいする可能性機密性への影響 (C Confidentiality Impact)
なしN
部分的P
全面的C
情報が改ざんされる可能性完全性への影響 (I Integrity Impact)
なしN
部分的P
全面的C
業務が遅延・停止する可能性可用性への影響 (A Availability Impact)
なしN
部分的P
全面的C
CVSS基本評価~脆弱性の技術的な特性を評価する~
56
-
Copyright © 2013 独立行政法人情報処理推進機構
JVN iPediaでもCVSS基本値を公開中
CVSS基本評価~脆弱性の技術的な特性を評価する~
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-005030.html
CVSSパラメータの選択肢が日本語で確認可能
深刻度 基本値
レベルIII(危険)
7.0~10.0
レベルII(警告)
4.0~6.9
レベルI(注意)
0.0~3.9
基本値を元にして深刻度(危険、警告、
注意)で分類をするのが一般的です。
57
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS現状評価~ある時点の攻撃状況などを評価する~
攻撃の状況とは?
実際に攻撃が行われている
攻撃コードが一般に公開(攻撃の予兆)
危険危険
危険
58
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS現状評価~ある時点の攻撃状況などを評価する~
一部のセキュリティ関連組織が情報を公開
時間の変化に応じて評価も変化する(危険増)
評価項目 選択肢・ポイント
攻撃コード・攻撃手法が実際に利用可能であるか攻撃可能性 (E Exploitability)
未実証U
実証可P
攻撃可F
容易H
対策がどの程度利用可能であるか対策のレベル (RL Remediation Level)
正式O
暫定T
非公式W
なしU
情報の信頼性情報信頼性 (RC Report Confidence)
- 未確認UC
未確証UR
確認済C
危険小 危険大
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
59
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS現状評価~ある時点の攻撃状況などを評価する~
http://www.kb.cert.org/vuls/id/310500
記載例
CVSS現状値を公表しているサイトは少ない状況60
-
Copyright © 2013 独立行政法人情報処理推進機構
自組織への影響とは?
社内で広く使っている製品に脆弱性が発見 基幹業務に直結する 業務へ与える影響が大きい
小
大
基幹システム 部内システム
OROR
メジャーアプリケーション
独自アプリケーション
CVSS環境評価~自組織への影響を評価する~
61
-
Copyright © 2013 独立行政法人情報処理推進機構
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
CVSS環境評価~自組織への影響を評価する~
評価項目 選択肢
影響範囲
システムからの二次的被害の可能性二次的被害(CDP Collateral Damage Potential)
なしN
軽微L
中程度LM
重大MH
壊滅的H
システムの影響範囲システム範囲(TD Target Distribution)
- なしN
小規模L
中規模M
大規模H
情報の重要度
システムにおける機密性の重要度機密性の要求度(CR Confidentiality Requirement)
- - 低L
中M
高H
システムにおける完全性の重要度完全性の要求度(IR Integrity Requirement)
- - 低L
中M
高H
システムにおける可用性の重要度可用性の要求度(AR Availability Impact)
- - 低L
中M
高H
【用語説明】二次的被害:物理的な機器への被害や、生活基盤、身体などへ及ぼす被害のこと機密性:機密情報が漏えいしないこと完全性:情報が改ざんされないこと可用性:業務が遅延・停止しないこと
危険小 危険大
CVSS環境評価は自組織内で行う必要がある
システムの重要度などによって環境評価値は変化62
-
Copyright © 2013 独立行政法人情報処理推進機構
情報の絞込み
Step3 自組織への影響を分析する自組織への影響を分析するにはどうすれば良いのか?
流れは以下の通り
Step1
脆弱性の危険度を確認
Step2
自組織への影響を分析
Step3
> >
脆弱性の特性や攻撃状況を確認
自組織に関連する情報を抽出
全ての情報
必要
自組織のリスクを考慮した対策を実施
緊急後でも
63
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性がもたらす影響を考えて見よう
同じ脆弱性であっても与えるインパクトは異なる
組織のビジネスインパクトを勘案した対策が必要
受発注システム部内システム 利用者利用者
システム形態:対外的サービス利用者:5,000人取扱いデータ:卸売り価格
システム形態:スケジュール管理利用者:部員20名取扱いデータ:個人スケジュール
自組織への深刻度を考えてみる~システムによって想定される被害は異なる~
64
-
Copyright © 2013 独立行政法人情報処理推進機構
システム単位に脆弱性による影響を評価
システムの重要度と照らし合わせて評価
影響度の高いものを重点的に対策する
組織へのビジネスインパクトを勘案した対策
ポイント
組織の環境に応じた脆弱性対策とは~組織にとってクリティカルなダメージを回避する~
65
-
Copyright © 2013 独立行政法人情報処理推進機構
対応イメージ
開発元
脆弱性対策情報
公開
システム管理者
システム環境評価結果
基本値:「7.0」 環境値:「9.0」
現状値:「7.0」
全体評価値:「9.0」
全体評価値の算出対策の可否や対策時期を判断する
公開された脆弱性の基本値と事前に準備した環境値(未評価も可)により、全体評価値を求める
CVSS環境評価の実施フロー~脆弱性情報を基に自システムの環境に当てはめて評価~
66
-
Copyright © 2013 独立行政法人情報処理推進機構
環境評価を行う単位を確定しておく
業務別 管理者別サーバ別
対策実施も視野にいれて、評価の対象範囲を確定する (次ページにモデルケースを記載)
環境評価を行う評価単位について~自システムの環境に当てはめて評価をする前に~
ネットワーク別
67
-
Copyright © 2013 独立行政法人情報処理推進機構
評価単位のモデルケース
一部の項目(二次的被害)のみを評価する方法あり
環境評価を行う評価単位について~自システムの環境に当てはめて評価をする前に~
インターネット直結サーバ
クライアント
管理サーバ
イントラサーバ
インターネット
「二次的被害の可能性」のみを指定、で簡易に環境評価が可能
例:ネットワークの重要度を考慮して評価単位を決定(4種類に分割)
68
-
Copyright © 2013 独立行政法人情報処理推進機構
評価方法の詳細を下記URLで日本語解説(別添の印刷資料も参照ください)
http://www.ipa.go.jp/security/vuln/CVSS.html
資料案内~CVSSの評価方法詳細を説明~
69
-
Copyright © 2013 独立行政法人情報処理推進機構
4.ケーススタディによる理解
70
-
Copyright © 2012 独立行政法人情報処理推進機構
CVSSスコアの算出方法について
http://www.ipa.go.jp/security/vuln/CVSS.html
計算が大変そう・・・どうしたら簡単に計算ができるかな?
ケーススタディを行う前の準備~評価をするためにはCVSSスコアの算出が必要~
71
-
Copyright © 2013 独立行政法人情報処理推進機構
http://jvndb.jvn.jp/cvss/
現状評価基準
評価結果からスコアの自動計算が可能
ケーススタディを行う前の準備~CVSS計算ツールを使ってみる~
環境評価基準
基本評価基準
評価値(スコア)
リンクをクリック
72
-
Copyright © 2013 独立行政法人情報処理推進機構
スコア算出例(CVSS基本値)
ケーススタディを行う前の準備~CVSS計算ツールを使ってみる~
73
-
Copyright © 2013 独立行政法人情報処理推進機構
スコア算出例(CVSS現状値と環境値)
ケーススタディを行う前の準備~CVSS計算ツールを使ってみる~
74
-
Copyright © 2013 独立行政法人情報処理推進機構
1.既知の脆弱性が悪用されたケース• Apache Struts2の脆弱性について
2.ゼロデイの脆弱性が悪用されたケース• MS製品の画像処理に関する脆弱性について
ケーススタディによる理解~情報収集や分析を行ってみましょう~
実際のケースから、どういった情報が入手可能なのか、また分析結果はどうなるか、を見ていきます。
75
-
Copyright © 2013 独立行政法人情報処理推進機構
■ケーススタディ1
実際に既知の脆弱性が悪用されたケースを見てみましょう
76
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~情報収集や分析を行ってみましょう~
例として、Apache Struts2の既知の脆弱性が悪用されたケースを見てみます。流れは以下
① ニュースサイトなどから悪用されている情報を入手する
② 関連情報をベンダサイトやセキュリティ関連のサイトから収集する
③ 収集した情報を分析して評価する
77
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~① ニュースサイトなどから情報を入手する~
出典: 日経BP社 ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20130718/492361/
ニュースサイト
■概要セキュリティベンダーのラックがオープソースのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用した攻撃が多数確認されているとして、緊急で注意喚起を発表した。
78
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~② 関連情報を収集する~
出典:株式会社ラックhttp://www.lac.co.jp/security/alert/2013/07/18_alert_01.html
セキュリティ関連企業のサイト
79
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~② 関連情報を収集する~
https://struts.apache.org/release/2.3.x/docs/s2-016.html
開発ベンダのサイト
80
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~② 関連情報を収集する~
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2251
海外データベースの情報(NVD)
81
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~② 関連情報を収集する~
http://osvdb.org/98445
海外データベースの情報(OSVDB)
■Exploit一覧 (http://osvdb.org/documentation ページからリンクする説明資料から抜粋)
Exploit Public - エクスプロイトが公開されている
Exploit Private - エクスプロイトが存在するが公共や商業的な枠組みでは利用不可
Exploit Commercial - 商業的な枠組みのなかで顧客であれば利用可能
Exploit Rumored - 存在するとの噂があるが確認ができない
Exploit Unknown - 不明
Exploit Wormified - ワームやウイルスを介して拡散する
82
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS基本評価は?NVDの短縮表記は(AV:N/AC:M/Au:N/C:C/I:C/A:C)
評価項目 選択肢・ポイント
攻撃の難易度
どこから攻撃可能であるか攻撃元区分 (AV Access Vector)
ローカルL
隣接N/WA
ネットワークN
攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC Access Complexity)
高H
中M
低L
攻撃するために認証が必要であるか攻撃前認証要否 (Au Authentication)
複数M
単一S
不要N
攻撃による影響
機密情報が漏えいする可能性機密性への影響 (C Confidentiality Impact)
なしN
部分的P
全面的C
情報が改ざんされる可能性完全性への影響 (I Integrity Impact)
なしN
部分的P
全面的C
業務が遅延・停止する可能性可用性への影響 (A Availability Impact)
なしN
部分的P
全面的C
83
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS現状評価は?
評価項目 選択肢・ポイント
攻撃コード・攻撃手法が実際に利用可能であるか攻撃可能性 (E Exploitability)
未実証U
実証可P
攻撃可F
容易H
対策がどの程度利用可能であるか対策のレベル (RL Remediation Level)
正式O
暫定T
非公式W
なしU
情報の信頼性情報信頼性 (RC Report Confidence)
- 未確認UC
未確証UR
確認済C
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
収集情報を参考にして評価をしてみましょう(評価例は次ページ)
84
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS現状評価は?
評価項目 選択肢・ポイント
攻撃コード・攻撃手法が実際に利用可能であるか攻撃可能性 (E Exploitability)
未実証U
実証可P
攻撃可F
容易H
対策がどの程度利用可能であるか対策のレベル (RL Remediation Level)
正式O
暫定T
非公式W
なしU
情報の信頼性情報信頼性 (RC Report Confidence)
- 未確認UC
未確証UR
確認済C
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
評価例)
85
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS環境評価は?
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
評価項目 選択肢
影響範囲
システムからの二次的被害の可能性二次的被害(CDP Collateral Damage Potential)
なしN
軽微L
中程度LM
重大MH
壊滅的H
システムの影響範囲システム範囲(TD Target Distribution)
- なしN
小規模L
中規模M
大規模H
情報の重要度
システムにおける機密性の重要度機密性の要求度(CR Confidentiality Requirement)
- - 低L
中M
高H
システムにおける完全性の重要度完全性の要求度(IR Integrity Requirement)
- - 低L
中M
高H
システムにおける可用性の重要度可用性の要求度(AR Availability Impact)
- - 低L
中M
高H
評価対象を「重要情報を保有する”インターネット直結サーバ”」として評価をしてみましょう ( 部分を評価します)
86
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS環境評価は?
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
評価項目 選択肢
影響範囲
システムからの二次的被害の可能性二次的被害(CDP Collateral Damage Potential)
なしN
軽微L
中程度LM
重大MH
壊滅的H
システムの影響範囲システム範囲(TD Target Distribution)
- なしN
小規模L
中規模M
大規模H
情報の重要度
システムにおける機密性の重要度機密性の要求度(CR Confidentiality Requirement)
- - 低L
中M
高H
システムにおける完全性の重要度完全性の要求度(IR Integrity Requirement)
- - 低L
中M
高H
システムにおける可用性の重要度可用性の要求度(AR Availability Impact)
- - 低L
中M
高H
評価例)
87
-
Copyright © 2013 独立行政法人情報処理推進機構
既知の脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS計算ツールでスコアを算出します
(詳細はデモ実行もご参照ください)
88
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS環境値 選択肢
7.0-10.0 即時に脆弱性対策を実施する
4.0-6.9 1ヶ月以内に対策を実施する
0.1-3.9 3ヶ月以内に対策を実施する
0.0 対策の必要なし
例)
対策への活用について組織へのクリティカルな影響を回避する
自組織のリソースで対応できる方針であること
既知の脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
89
-
Copyright © 2013 独立行政法人情報処理推進機構
■ケーススタディ2
実際にゼロデイの脆弱性が悪用されたケースを見てみましょう
90
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~情報収集や分析を行ってみましょう~
2例目に、MS製品の画像処理の脆弱性がゼロデイ攻撃として悪用されたケースを見てみます。流れは以下
① ニュースサイトなどから悪用されている情報を入手する
② 関連情報をベンダサイトやセキュリティ関連のサイトから収集する
③ 収集した情報を分析して評価する
91
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~① ニュースサイトなどから情報を入手する~
出典:アイティメディア株式会社 ITmedia
http://www.itmedia.co.jp/enterprise/articles/1311/06/news039.html
ニュースサイト
■概要米Microsoftのグラフィックスコンポーネントに未解決の脆弱性が見つかった。同社では不正なWordファイルを使ってこの問題を悪用しようとする標的型攻撃の発生を確認。
92
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~② 関連情報を収集する~
出典:Microsoft
http://technet.microsoft.com/ja-jp/security/advisory/2896666
開発ベンダのサイト ゼロデイ発生直後はCVSS基本値が不明
なケースが多い
93
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~② 関連情報を収集する~
出典:Microsoft
https://support.microsoft.com/kb/2896666/ja
開発ベンダのサイト
94
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS基本評価は?
評価項目 選択肢・ポイント
攻撃の難易度
どこから攻撃可能であるか攻撃元区分 (AV Access Vector)
ローカルL
隣接N/WA
ネットワークN
攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC Access Complexity)
高H
中M
低L
攻撃するために認証が必要であるか攻撃前認証要否 (Au Authentication)
複数M
単一S
不要N
攻撃による影響
機密情報が漏えいする可能性機密性への影響 (C Confidentiality Impact)
なしN
部分的P
全面的C
情報が改ざんされる可能性完全性への影響 (I Integrity Impact)
なしN
部分的P
全面的C
業務が遅延・停止する可能性可用性への影響 (A Availability Impact)
なしN
部分的P
全面的C
ベンダ情報を参考にして評価をしてみましょう
95
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS基本評価は?
評価項目 選択肢・ポイント
攻撃の難易度
どこから攻撃可能であるか攻撃元区分 (AV Access Vector)
ローカルL
隣接N/WA
ネットワークN
攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC Access Complexity)
高H
中M
低L
攻撃するために認証が必要であるか攻撃前認証要否 (Au Authentication)
複数M
単一S
不要N
攻撃による影響
機密情報が漏えいする可能性機密性への影響 (C Confidentiality Impact)
なしN
部分的P
全面的C
情報が改ざんされる可能性完全性への影響 (I Integrity Impact)
なしN
部分的P
全面的C
業務が遅延・停止する可能性可用性への影響 (A Availability Impact)
なしN
部分的P
全面的C
評価例) 11/15時点のNVD情報から
96
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS現状評価は?
評価項目 選択肢・ポイント
攻撃コード・攻撃手法が実際に利用可能であるか攻撃可能性 (E Exploitability)
未実証U
実証可P
攻撃可F
容易H
対策がどの程度利用可能であるか対策のレベル (RL Remediation Level)
正式O
暫定T
非公式W
なしU
情報の信頼性情報信頼性 (RC Report Confidence)
- 未確認UC
未確証UR
確認済C
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
収集情報を参考にして評価をしてみましょう(評価例は次ページ)
97
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS現状評価は?
評価項目 選択肢・ポイント
攻撃コード・攻撃手法が実際に利用可能であるか攻撃可能性 (E Exploitability)
未実証U
実証可P
攻撃可F
容易H
対策がどの程度利用可能であるか対策のレベル (RL Remediation Level)
正式O
暫定T
非公式W
なしU
情報の信頼性情報信頼性 (RC Report Confidence)
- 未確認UC
未確証UR
確認済C
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
評価例)
98
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS環境評価は?
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
評価項目 選択肢
影響範囲
システムからの二次的被害の可能性二次的被害(CDP Collateral Damage Potential)
なしN
軽微L
中程度LM
重大MH
壊滅的H
システムの影響範囲システム範囲(TD Target Distribution)
- なしN
小規模L
中規模M
大規模H
情報の重要度
システムにおける機密性の重要度機密性の要求度(CR Confidentiality Requirement)
- - 低L
中M
高H
システムにおける完全性の重要度完全性の要求度(IR Integrity Requirement)
- - 低L
中M
高H
システムにおける可用性の重要度可用性の要求度(AR Availability Impact)
- - 低L
中M
高H
評価対象を「重要情報を保有しない”クライアント”」として評価をしてみましょう ( 部分を評価します)
99
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS環境評価は?
※すべての項目で未評価(ND:この項目を評価しない)という選択肢があります。
評価項目 選択肢
影響範囲
システムからの二次的被害の可能性二次的被害(CDP Collateral Damage Potential)
なしN
軽微L
中程度LM
重大MH
壊滅的H
システムの影響範囲システム範囲(TD Target Distribution)
- なしN
小規模L
中規模M
大規模H
情報の重要度
システムにおける機密性の重要度機密性の要求度(CR Confidentiality Requirement)
- - 低L
中M
高H
システムにおける完全性の重要度完全性の要求度(IR Integrity Requirement)
- - 低L
中M
高H
システムにおける可用性の重要度可用性の要求度(AR Availability Impact)
- - 低L
中M
高H
評価例)
100
-
Copyright © 2013 独立行政法人情報処理推進機構
ゼロデイの脆弱性が悪用されたケース~③ 収集した情報を分析して評価する~
CVSS計算ツールでスコアを算出します
(詳細はデモ実行もご参照ください)
101
-
Copyright © 2013 独立行政法人情報処理推進機構
最後に(補足)
「システムの影響範囲」で環境評価をする案もあります評価項目 選択肢
影響範囲
システムからの二次的被害の可能性二次的被害(CDP Collateral Damage Potential)
なしN
軽微L
中程度LM
重大MH
壊滅的H
システムの影響範囲システム範囲(TD Target Distribution)
- なしN
小規模L
中規模M
大規模H
情報の重要度
システムにおける機密性の重要度機密性の要求度(CR Confidentiality Requirement)
- - 低L
中M
高H
システムにおける完全性の重要度完全性の要求度(IR Integrity Requirement)
- - 低L
中M
高H
システムにおける可用性の重要度可用性の要求度(AR Availability Impact)
- - 低L
中M
高H
「二次的被害」のみで評価 ⇒ 現状値を下限としたスコア値になる
「影響範囲」のみで評価 ⇒ 現状値を上限としたスコア値になる
システムの重要度にあわせた評価を実施することがポイント
102
-
Copyright © 2013 独立行政法人情報処理推進機構
5.CVSSバージョン3について
103
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSSバージョン3について
開発の背景2007年にリリースされたバージョン2は、攻撃対象となる
ホストにおいての「脆弱性による深刻度」を評価
仮想化やサンドボックス化などが進んできていることから、利用状況の変化を取り込んだ仕様へ
バージョン3の特徴評価対象をホストからコンポーネントレベルに詳細化
⇒新しい基本評価項目の導入
開発の予定2013年5月 新しい基本評価項目の導入検討完了
2014年6月 バージョン3 リリース予定
104
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS V3新しい基本評価項目の導入
CVSS V2
攻撃の難易度
どこから攻撃可能であるか攻撃元区分 (AV: Access Vector)
攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC: Access Complexity)
攻撃するために認証が必要であるか攻撃前認証要否 (Au: Authentication)
攻撃による影響
機密情報が漏えいする可能性機密性への影響 (C: Confidentiality Impact)
情報が改ざんされる可能性完全性への影響 (I: Integrity Impact)
業務が遅延・停止する可能性可用性への影響 (A: Availability Impact)
CVSSV3
攻撃の難易度
どこから攻撃可能であるか攻撃元区分 (AV: Access Vector)
攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC: Attack Complexity)
攻撃する際に必要なユーザ関与レベルユーザ関与レベル (UI: User Interaction)
攻撃する際に必要な特権のレベル必要な特権レベル (PR: Privileges Required)
攻撃する際に必要な許可範囲のレベル許可範囲レベル (AS: Authorization Scope)
攻撃による影響
攻撃による影響範囲の拡大縮小影響範囲レベル (IS: Impact Scope)
機密情報が漏えいする可能性機密性への影響 (C: Confidentiality Impact)
情報が改ざんされる可能性完全性への影響 (I: Integrity Impact)
業務が遅延・停止する可能性可用性への影響 (A: Availability Impact)
105
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS V3新しい基本評価項目
攻撃する際に必要なユーザ関与レベルユーザ関与レベル (UI: User Interaction)脆弱性を攻撃するために必要となるユーザの関与レベルを評価します。
選択肢 内容
不要(None)
ユーザが何もしなくても脆弱性が攻撃される可能性がある。
単純(Simple)
リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作が必要となる。
複雑(Complex)
設定の変更など、ユーザによる特別な動作が必要となる。
106
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS V3新しい基本評価項目
攻撃する際に必要な特権のレベル必要な特権レベル (PR: Privileges Required)脆弱性を攻撃するために必要となる攻撃者の特権レベルを評価します。
選択肢 内容
不要(None Unprivileged)
攻撃者は、特別な権限や認証操作は必要としない。
低(Low)
攻撃者は、認証されており、基本的な操作ができる権限を必要とする。
高(High)
攻撃者は、認証されており、より権限を持った操作ができる必要がある。
完全(Complete)
攻撃者は、認証されており、完全に制御できる権限を必要とする。
107
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS V3新しい基本評価項目
攻撃する際に必要となる許可範囲のレベル許可範囲レベル (AS: Authorization Scope)脆弱性を攻撃するために必要となる攻撃者の許可レベルを評価します。
選択肢 内容
狭い(Decreased)
脆弱性なコンポーネントを攻撃するためには、コンポーネントよりも狭い範囲で操作権限を保有していれば良い。
同じ(Component)
脆弱性なコンポーネントを攻撃するためには、コンポーネントの操作権限を保有していれば良い。
広い(Increased)
脆弱性なコンポーネントを攻撃するためには、コンポーネントよりも広い範囲での操作権限を保有している必要がある。
108
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS V3新しい基本評価項目
攻撃による影響範囲の拡大縮小影響範囲レベル (IS: Impact Scope)脆弱性への攻撃の結果、影響範囲が広がるのか、より小さい範囲に留まるのかを評価します。
選択肢 内容
縮小(Decreased)
脆弱性なコンポーネントを攻撃したとしても、その影響は、コンポーネントよりも狭い範囲に留まる。
同じ(Component)
脆弱性なコンポーネントを攻撃した場合、その影響は、コンポーネントに対するものとなる。
拡大(Increased)
脆弱性なコンポーネントを攻撃した場合、その影響は、コンポーネントよりも広い範囲となる。
109
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS V3新しい基本評価項目を用いた事例
クロスサイトスクリプティング
攻撃元区分(Access Vector)
ネットワーク必要特権レベル
(Privileges Required)不要
完全性への影響(Integrity)部分的
可用性への影響(Availability)
部分的
機密性への影響(Confidentiality)
部分的攻撃条件の複雑さ(Attack Complexity)
低ユーザ関与レベル(User Interaction)
単純
許可範囲レベル(Authorization Scope)
同じ
影響範囲レベル(Impact Scope)
拡大
Webアプリケーション
Webブラウザ
攻撃者
110
-
Copyright © 2013 独立行政法人情報処理推進機構
CVSS V3新しい基本評価項目を用いた事例
ハイパーバイザー経由でのゲストOSからホストOSへのDoS
攻撃元区分(Access Vector)
ローカル必要特権レベル
(Privileges Required)高
完全性への影響(Integrity)
なし可用性への影響
(Availability)全面的
機密性への影響(Confidentiality)
なし攻撃条件の複雑さ(Attack Complexity)
中ユーザ関与レベル(User Interaction)
不要
許可範囲レベル(Authorization Scope)
狭い
影響範囲レベル(Impact Scope)
拡大
ゲストOS
ホストOS
ハイパーバイザ
攻撃者
111
-
Copyright © 2013 独立行政法人情報処理推進機構
6.IPAのツールを利用した脆弱性対策
112
-
Copyright © 2013 独立行政法人情報処理推進機構
時間とともに増えるリスク~時間と共に情報システムが攻略されるリスクが増大~
脆弱性は、日々公開されており、時間と共に情報システムの安全性が低下している
113
-
Copyright © 2013 独立行政法人情報処理推進機構
日々公表されている脆弱性情報~公式な脆弱性だけで年間5,000件が公開されている~
IPA「脆弱性対策情報データベースJVN iPediaの登録状況 [2013年第3四半期(7月~9月)]」http://www.ipa.go.jp/security/vuln/report/JVNiPedia2013q3.html
累計41,816件(2013年9月末)
月平均420件
114
-
Copyright © 2013 独立行政法人情報処理推進機構
優先度を付けて対策する~脆弱性の持つ危険度を見極めよう~
脆弱性対策情報(全件)
自組織で利用しているソフトウェア(対策すべき最大範囲)
技術的危険度が高い
攻撃に悪用される可能性が高い
最も深刻度が高い情報
被害を防ぐ為には、深刻度の高い脆弱性を解消していくことが重要
115
-
Copyright © 2013 独立行政法人情報処理推進機構
自組織で利用しているソフトウェア全てに対策
モデル①:使用中の全ソフトウェアに対策~自組織で利用しているソフトウェアの情報を集めよう~
①使用しているソフトウェアのリスト化
②脆弱性対策情報の日々の収集③対策の実施
最もリスクを低減できる確実な方法
対策に掛かるコストを考慮しておく必要あり116
-
Copyright © 2013 独立行政法人情報処理推進機構
モデル①:使用中の全ソフトウェアに対策~MyJVN 情報収集ツールを使い必要な情報のみ収集~
117
http://jvndb.jvn.jp/apis/myjvn/mjcheck.htmlMyJVN 情報収集ツールを使った情報収集
収集対象のソフトウェアをリスト化しておく
リスト化した対象ソフトウェアのみ表示
117
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性対策情報(全件)
自組織で利用しているソフトウェア(対策すべき最大範囲)
技術的危険度が高い
攻撃に悪用される可能性が高い
最も深刻度が高い情報
被害を防ぐ為には、深刻度の高い脆弱性を解消していくことが重要
モデル②:深刻度の高い脆弱性に限定~深刻度の高い脆弱性に限定した収集~
118
-
Copyright © 2013 独立行政法人情報処理推進機構
技術的な深刻度が高い脆弱性に限定した対策
脆弱性と言っても、引き起される事象は様々
インターネット越しにリモートコントロールできる・・・危険大
ローカル環境でパソコンをフリーズさせる ・・・危険小
モデル②:深刻度の高い脆弱性に限定~深刻度の高い脆弱性に限定した収集~
深刻度が高い物に限定することで、コスト削減
リスクが残る点は、認識しておく必要あり
危険大 危険中 危険小
対象
119
-
Copyright © 2013 独立行政法人情報処理推進機構
JVN iPediaにおける深刻度の記載URL:http://jvndb.jvn.jp/
CVSSに基づく、脆弱性の技術的な危険度(CVSS基本値)を記載
モデル②:深刻度の高い脆弱性に限定~深刻度の高い脆弱性に限定した収集~
120
-
Copyright © 2013 独立行政法人情報処理推進機構
モデル②:深刻度の高い脆弱性に限定~MyJVN 情報収集ツールを使い必要な情報のみ収集~
深刻度をフィルタ条件に加える
フィルタ条件に深刻度を設定する フィルタ条件に従った
結果が表示される
高: 7.0~10.0中: 4.0~6.9低: 0.0~3.9
http://jvndb.jvn.jp/apis/myjvn/mjcheck.html
121
-
Copyright © 2013 独立行政法人情報処理推進機構
脆弱性対策情報(全件)
自組織で利用しているソフトウェア(対策すべき最大範囲)
技術的危険度が高い
攻撃に悪用される可能性が高い
最も深刻度が高い情報
被害を防ぐ為には、深刻度の高い脆弱性を解消していくことが重要
モデル③:攻撃に悪用され易い脆弱性を対策~最も迅速さが求められる脆弱性から対策~
122
-
Copyright © 2013 独立行政法人情報処理推進機構
攻撃に悪用されやすい脆弱性とは?クライアント環境
Adobe Reader、Adobe Flash Player、ブラウザ関連…
サーバ(Web)環境
BIND、Apache、Apache Tomcat、CMS関連・・・
OS関連
Microsoft Windows、Android、iOS・・・
モデル③:攻撃に悪用され易い脆弱性を対策~最も迅速さが求められる脆弱性から対策~
過去・現在の攻撃実績から対象を絞る方式
他のソフトウェアが狙われるリスクは残存する123
-
Copyright © 2013 独立行政法人情報処理推進機構
重要なセキュリティ情報の活用
モデル③:攻撃に悪用され易い脆弱性を対策~IPA「重要なセキュリティ情報」の発信情報を基に対策~
https://www.ipa.go.jp/https://www.ipa.go.jp/security/rss/alert.rdf
https://www.jpcert.or.jp/at/2013.htmlJPCERT/CCの情報と合せると、より効果的
124
-
Copyright © 2013 独立行政法人情報処理推進機構
「重要なセキュリティ情報」とは(抜粋)http://www.ipa.go.jp/security/announce/about.html
モデル③:攻撃に悪用され易い脆弱性を対策~IPA「重要なセキュリティ情報」の発信情報を基に対策~
125
-
Copyright © 2013 独立行政法人情報処理推進機構
サイバーセキュリティ注意喚起サービス「icat」
IPAが発信する「重要なセキュリティ情報」をリアルタイムに同期できます
社内のポータルサイトなどにHTMLタグを埋込んでご利用ください
利用時に埋め込むHTMLタグは以下
<表示例>
モデル③:攻撃に悪用され易い脆弱性を対策~サイバーセキュリティ注意喚起サービスを利用した対応~
126
-
Copyright © 2013 独立行政法人情報処理推進機構
リアルタイムで表示し、迅速な対応を支援
モデル③:攻撃に悪用され易い脆弱性を対策~サイバーセキュリティ注意喚起サービスを利用した対応~
<例:利用前のサイト>
<icat利用後のイメージ>
出典:IPA https://isec-portal.ipa.go.jp/supportsecurity/act001/core/scrtySprtToolPortal/
127
-
Copyright © 2013 独立行政法人情報処理推進機構
最後に
脆弱性対策は日々情報の収集が重要です。
脆弱性に対して適切な対応をとっていきましょう。
128
-
Copyright © 2013 独立行政法人情報処理推進機構
Q & A
129
脆弱性対策の効果的な進め方� ~深刻度を評価する「CVSS」を利用した脆弱性対策について~講義内容スライド番号 3脆弱性とは?脆弱性を取り巻く環境の変化�~様々な分野に広がっていく脆弱性~脆弱性を取り巻く環境の変化�~様々な分野に広がっていく脆弱性~脆弱性を取り巻く環境の変化�~海外では脆弱性売買が行われている~脆弱性と攻撃の関係脆弱性と攻撃の関係 (平時)�~脆弱性対策は、どのようにして行われるのか?~脆弱性と攻撃の関係 (平時)�~攻撃者は、どのように脆弱性を悪用するのか?~脆弱性と攻撃の関係 (緊急時)�~攻撃は、どのようにして行われるのか?~脆弱性と攻撃の関係 (緊急時)�~攻撃者は、どのように脆弱性を悪用するのか?~脆弱性と攻撃の関係 (平時→緊急)�~攻撃は、どのようにして行われるのか?~事例紹介①�~ゼロデイ攻撃と既知の脆弱性の悪用比率~事例紹介②�~サーバ系ソフトの既知の脆弱性を悪用した事例~事例紹介③�~クライアント系ソフトの既知の脆弱性を悪用した事例~まとめ�~脆弱性を悪用した攻撃の特徴~スライド番号 18脆弱性関連情報の収集脆弱性関連情報カテゴリ情報収集に役立つキーワードについて知ろう知っていますか?CVE,CVSS,CWEスライド番号 23スライド番号 24CVSSとは�~脆弱性の深刻度を数値で表現する~�CVSSとは�~脆弱性の深刻度を数値で表現する~�CWEとは�~脆弱性のタイプを体系立てて分類した指標~CWEとは�~主要な脆弱性タイプ一覧~情報収集先サイト脆弱性情報データベース(1)脆弱性情報データベース(2)脆弱性情報データベース(3)脆弱性情報データベース(4)脆弱性情報データベース(5)注意喚起サイト (1)注意喚起サイト (2)注意喚起サイト (3)注意喚起サイト (4)注意喚起サイト (5)ニュースサイト製品ベンダーサイト(1)製品ベンダーサイト(2)製品ベンダーサイト(3)製品ベンダー サイト(4)/その他スライド番号 45スライド番号 46スライド番号 47スライド番号 48スライド番号 49スライド番号 50スライド番号 51スライド番号 52スライド番号 53スライド番号 54スライド番号 55スライド番号 56スライド番号 57スライド番号 58スライド番号 59スライド番号 60スライド番号 61スライド番号 62スライド番号 63スライド番号 64スライド番号 65スライド番号 66スライド番号 67スライド番号 68スライド番号 69スライド番号 70スライド番号 71スライド番号 72スライド番号 73スライド番号 74スライド番号 75■ケーススタディ1��実際に既知の脆弱性が悪用されたケース�を見てみましょうスライド番号 77スライド番号 78スライド番号 79スライド番号 80スライド番号 81スライド番号 82スライド番号 83スライド番号 84スライド番号 85スライド番号 86スライド番号 87スライド番号 88スライド番号 89■ケーススタディ2��実際にゼロデイの脆弱性が悪用されたケース�を見てみましょうスライド番号 91スライド番号 92スライド番号 93スライド番号 94スライド番号 95スライド番号 96スライド番号 97スライド番号 98スライド番号 99スライド番号 100スライド番号 101スライド番号 102スライド番号 103CVSSバージョン3についてCVSS V3�新しい基本評価項目の導入CVSS V3�新しい基本評価項目CVSS V3�新しい基本評価項目CVSS V3�新しい基本評価項目CVSS V3�新しい基本評価項目CVSS V3�新しい基本評価項目を用いた事例CVSS V3�新しい基本評価項目を用いた事例スライド番号 112時間とともに増えるリスク�~時間と共に情報システムが攻略されるリスクが増大~日々公表されている脆弱性情報�~公式な脆弱性だけで年間5,000件が公開されている~優先度を付けて対策する�~脆弱性の持つ危険度を見極めよう~モデル①:使用中の全ソフトウェアに対策�~自組織で利用しているソフトウェアの情報を集めよう~モデル①:使用中の全ソフトウェアに対策�~MyJVN 情報収集ツールを使い必要な情報のみ収集~モデル②:深刻度の高い脆弱性に限定�~深刻度の高い脆弱性に限定した収集~モデル②:深刻度の高い脆弱性に限定�~深刻度の高い脆弱性に限定した収集~モデル②:深刻度の高い脆弱性に限定�~深刻度の高い脆弱性に限定した収集~モデル②:深刻度の高い脆弱性に限定�~MyJVN 情報収集ツールを使い必要な情報のみ収集~モデル③:攻撃に悪用され易い脆弱性を対策�~最も迅速さが求められる脆弱性から対策~モデル③:攻撃に悪用され易い脆弱性を対策�~最も迅速さが求められる脆弱性から対策~モデル③:攻撃に悪用され易い脆弱性を対策�~IPA「重要なセキュリティ情報」の発信情報を基に対策~スライド番号 125スライド番号 126スライド番号 127スライド番号 128スライド番号 129