トップ その他 ITスキル体系 情報セキュリティマネジメント 情報セキュリティの知識 脆弱性

脆弱性とは―種類、セキュリティホールの見つけ方、脆弱性評価指標など

脆弱性とは、セキュリティの穴です。脆弱性の種類、セキュリティホールの見つけ方、脆弱性評価指標など。脆弱性についてまとめています。

以下は目次になります。

脆弱性とは

脆弱性とは、もろくて弱い性質や性格のこと。特に情報セキュリティでよく使われる言葉です。

情報セキュリティでの脆弱性の意味は、 設備や技術、管理・制度などの情報に関連したリスクの要因となる弱点や欠陥を意味します。

参考)脆弱性とは―意味、評価方法、見つけ方

つまり脆弱性は、サイバー犯罪に利用できるセキュリティの穴、セキュリティホールのことです。 情報システムの情報セキュリティに関する欠陥、企業、組織、個人に対する行動規範の不徹底、未整備という脅威に対する不備などがあります。

以下では、セキュリティホールや脆弱性の見つけ方、脆弱性の評価の方法についてまとめていきます。

脆弱性の種類

サイバー攻撃の攻撃手法を切り口に脆弱性の種類をまとめています。

見つけ方①―おそらく脆弱性情報の7割はネット上に転がっている

おそらく脆弱性情報の7割はネット上に転がっていると思います。 専門家じゃなくて素人でも、違法行為を働かなくても正規の方法で、情報収集できると思います。

見つけ方①A―検索エンジンの恐ろしさ

Index ofページ、意図せず公開されているExcelファイル、ログイン情報、社内に対する匿名の投稿、エラー出力されたページなど、 技術系の検索しているとよく見かけます。

とあるセキュリティのセミナーに参加したとき、デモで有名大学のある部署の「パスワード管理.xls」が検索されていました。

今の世の中、検索エンジンに支配される世の中ではないかと思います。AIの発達など検索エンジンのDBが一番の脆弱性情報DBと思います。

あと、Censysなどハッカー向けの検索エンジンがあるのも驚きです。

ちなみに、Google検索など検索エンジンを使用して脆弱性情報を収集する手法をGoogleハッキングとか検索エンジンハッキングというようです。

検索エンジンハッキングに使用する検索オプションの例

想像力と検索エンジンの機能を駆使すれば、違法行為を働かなくても正規の方法で大方のヒントが収集できるのではと思います。

以下は検索エンジンの検索オプションの例です。

検索エンジンの検索オプションの例

検索エンジンのコマンド

以下は検索エンジンの検索オプションコマンドの例です。

見つけ方①B―公共の脆弱性DB

NISTやIPAなどの機関で、セキュリティの専門家により、脆弱性データベースが更新されています。 脆弱性データベースを参照すれば、専門化じゃなくて、素人でも簡単に新しい脆弱性を把握することができます。

たとえば、NVD。NVDとは?

NISTが管理している脆弱性情報データベースのことです。報告されたソフトウェアの脆弱性が検索できます。

その他、JVN

NVDの日本番。JPCERT/CC、IPAが共同で運営する日本国内のソフトウェアの脆弱性情報を取り扱うデータベースのことです。 こちらも報告されたソフトウェアの脆弱性が検索できます。

見つけ方②―簡単にツールや方法がたくさんある

URLを入力する、IPアドレスを入力するだけで簡単に実行できるツールがたくさんあります。 試しに使ってみて思ったのは、たくさんの対象があるときは網羅的に実行できていい半面、検出結果の見ているといつも同じ感じで検出範囲は狭いのではと思います。

見つけ方③―挙動やソースなどシステム情報の収集&目視で見ながら試して確認

なかなか試すのは難しいこともありますが、例えば、WEB公開領域に一次的において消し忘れた危ないファイルなど、 ツールを掛けるよりも実施に目で見ると気づいてドキッとすることが多いのではと思います。

ZAPなどオープンソースのツールのソースを見て、どのような手順でエクスプロイトを実行しているかを見るなども参考になるのではと思います。

脆弱性評価指標

脆弱性を共通の尺度で認識できるように評価システムが作られています。

CVSSとは?

CVSSは、Common Vulnerability Scoring Systemの略です。 コンピュータ・セキュリティの非営利団体のFIRSTが推進する、脆弱性評価システムです。

ソフトウェアや情報システムの脆弱性の深刻度を評価する手法の一つになります。 システムの種類や開発元の違い、評価者の違いなどに共通の尺度で深刻度を計るもので、3種類の指標を0.0から10.0までの得点で表します。

参考

CVSSの3種類の指標

CVSSには以下の3種類の指標があります。

なお、脆弱性そのものの一般的な深刻度は基本値で表わされることが多いです。

CVSSv2とCVSSv3

CVSSには、FIRSTから2007年6月20日に公開された共通脆弱性評価システムCVSSv2、2015年6月10日に公開されたCVSSv3が存在します。

CVSSv2とCVSSv3の違いについて

CVSSv2は、攻撃対象となるホストやシステムにおいての「脆弱性による深刻度」を評価していましたが、 CVSSv3では、仮想化やサンドボックス化などが進んできていることから、コンポーネント単位で評価する手法を取り込んだ仕様となっています。

CVSS基本値(base score)

CVSS基本値とは

CVSSの3種類の指標の1つです。 脆弱性自体の特性を評価する指標です。 脆弱性の技術的な特性を評価する基準です。 その脆弱性によってどこからどのような攻撃が可能か、どのような影響が起こりうるかなど、脆弱性自体の性質に基づいて評価される指標です。

CVSS基本値は、時間(現状評価)や利用方法(環境評価)に依存しない項目「攻撃元区分、攻撃条件の複雑さ、攻撃前認証要否、機密性/完全性/可用性への影響」で評価します。 CVSS基本値の項目選択値は、JVN iPediaやNVDなどの脆弱性対策データベース、製品開発ベンダー、セキュリティベンダーのWebサイトから入手できます。

CVSS深刻度評価結果

深刻度横に表示されるIPA値やNVD値は、どの組織が評価した深刻度かを表します。 IPA値、NVD値それぞれの組織は以下のとおりです。

知識の幅を広げるための参考

更新履歴

戻る

スポンサーリンク

サイト内のページ

言語
C・C++ /HTML /Java /JavaScript /PHP /シェルスクリプト

開発環境
Ant /Bcc /Eclipse /gcc /gdb /g++ /JDK /JUnit /ZAP

技術・仕様
Ajax /CORBA /Java EE(旧称J2EE) /JNI

ライブラリ/Framework/CMS
jQuery /Lucene /MyBatis /RESTEasy /Spring /Struts /Seasar2 /WordPress

ITインフラ OSとミドルウェア
Linux /Windows /シェル
Apache/Tomcat /MySQL /Redis /Solr /vsftpd

ITインフラ PC 製品
ZOTAC

ITインフラ サーバー
Web公開サーバー構築

ITインフラ ネットワーク
プログラミング /機器 /構築

ITインフラ セキュリティ
公開サーバーのセキュリティ

SI
ホームページの作り方 /小さな会社のISMS

その他
IT用語 /ITスキル体系 /トレンド履歴 /翻訳英語の学習 /RSEUserGuide翻訳

スポンサーリンク