脅威および脆弱性の危険度の評価について
脅威および脆弱性の危険度の評価について
McAfee Labs® 脅威の危険度について
McAfee Labs 脆弱性の深刻度について
- 目的と有用性
- 概要
- 深刻度の評価基準
- 深刻度
- 攻撃を受ける可能性(露出度)
- 攻撃を受けたときの影響(影響)
- 想定されるターゲットの数および一般性。(Microsoft Windowsの脅威はMacintoshまたはUnixの脅威よりも効果的に拡散する可能性が高くなります)
- 脅威が利用できる繁殖/感染手段の数。
- これらの手段の一般性。(たとえば、電子メールのユーザー数はP2Pファイル共有プログラムのユーザー数よりも多い)
- 攻撃を成功させるのに、ユーザーの操作が必要かどうか。
- ユーザーの操作が必要な場合、ユーザーをだまして脅威を実行させるために使われているソーシャルエンジニアリングの有効性。
- 脅威がソフトウェアの脆弱性を利用している場合、修正プログラムの可用性および修正プログラムが提供される期間。
- 攻撃を阻止できる既存の対策の有無および有効性。(一部またはほとんどのウイルス対策ベンダーが脅威をプロアクティブに検出できるかどうか)
- 同じ手段を利用する過去の脅威、メディアの関心により、ソーシャルエンジニアリングまたは未修正の脆弱性がもたらす危険について、ユーザーがどの程度認識しているか。
- 他の脅威に関する頻繁な警告、大げさな警告により、お客様がセキュリティ業界の警告にどの程度鈍感になっているか。
- 脅威のコードに含まれる制限、バグの数およびタイプ。
- 脅威が実際にリリースされたかどうか、また、どのようにリリースされたか。(時間をかけてばらまかれたのか、それともスパムで大量送信されたのか。初期のばらまきが阻止されたか)
- セキュリティベンダー、インターネットサービスプロバイダー、法執行機関を含むセキュリティコミュニティの脅威への対応速度および有効性。
- お客様が感染を通知できない可能性があります。
- お客様が阻止された脅威を感染と報告する、あるいは阻止されなかった脅威を感染と報告しない可能性があります。
- 感染した電子メールの量から感染率を推定しようとしても、根拠があまりにも薄弱です。1台の感染マシンに何通の感染メールがあるかによって、脅威の規模は大きく異なります。
- MyWife.dの作者が提供したカウンターなどの証拠が誤って解釈される、または乱用される可能性があります。
- 最大 - 一般のネットワーク上で脅威が確認され、4時間未満で20件を超える届出があった場合。一般的なオペレーティングシステム、アプリケーションの未修正の脆弱性を利用し、二次感染の兆候が多々見られる脅威もこのカテゴリーに分類される場合があります。
- 大 - 一般のネットワーク上で脅威が確認され、平日(8時間以内)に20件を超える届出があった場合。届出が1つの国または地域に限られるときもあれば、多数の国および地域から寄せられるときもあります。一般的なオペレーティングシステムまたはアプリケーションの修正済みの脆弱性を利用する脅威、あまり一般的でないアプリケーションまたはオペレーティングシステムの未修正の脆弱性もこのカテゴリーに分類されます。
- 中 - 一般のネットワーク上で脅威が確認されたが、届出が24時間で20件に満たない場合。数日前から修正プログラムが提供されている脆弱性を利用する脅威もこのカテゴリーに分類されます。
- 小 - ウイルスの存在がMcAfee Labsの研究者によって確認されているが、感染の届出が数日たってもほぼ皆無な場合。
- データまたは機密ファイルの第三者への送信。
- データ漏えいによる信用の失墜または法的責任。
- 将来、任意のコードの実行を可能にするコンポーネントのインストール(バックドア、ボット)。
- データファイルのわずかな操作(XM/Compat.Aを参照)。
- 第三者への攻撃(DDoSクライアント)。
- プリンターなど、ネットワークに接続されている機器の問題(W32/Bugbear@MMを参照)。
- セキュリティ製品の終了または干渉により、将来、未知の攻撃にさらされる可能性。
- 損害は予測不可能 - 脅威が機密データを第三者に流出したり、さらなるセキュリティーホールを作り出したり、ネットワーク全体を停止したりする。
- 損害は非常に深刻 - 脅威が完全に自動でデータを操作したり、他に被害をもたらしたりする。
- 損害は深刻 - 脅威が大量のファイルを削除したり、ハードドライブをフォーマットしたり、フラッシュBIOSを削除したりする。
- 損害は中度 - 脅威が個々のファイルを削除したり、一時的にコンピューターを使用不能にしたりする。
- 損害は微小 - 脅威がテキストを偽造したり、音を発したりする。
- W97M/Melissa
- VBS/Loveletter
- VBS/VBSWG (Anna)
- W32/Nimda
- W32/Mydoom
- Win95/CIH
- VBS/Newlove
- W32/SQLSlammer.worm
- W32/Sobig.f
- W32/IRCbot.worm!MS05-039
- W97M/Resume
- W32/Badtrans.b
- W32/Fizzer.gen
- W32/Blaster.worm
- W32/Bagle.aa
- W32/Sober.c
- W32/Bagle
- W32/Netsky.b
- W32/Sasser.worm
- W32/Zafi.d
- W32/Bugbros@MM
- W32/Bizex.worm
- W32/Evaman@MM
- W64/Shruggle
- W32/Cycle.worm.a
- W32/Reatle.gen
- W32/Vulgar
- W32/Cycle.worm.a
- W32/Reatle.gen
- W32/Vulgar
- IRC/Stages
- W32/SirCam
- W32/APost
- 当初、「高」に格付けされていたが、エクスプロイトコードが公開されたため、格上げされた脆弱性に適用されます。
- ユーザーの操作なしにリモートで利用可能な脆弱性に適用されます。脆弱性の利用に成功すると、攻撃を受けたシステムが恒久的に乗っ取られます。
- 当初、「中」に格付けされていたが、エクスプロイトコードが公開されたため、格上げされた脆弱性に適用されます。
- ユーザーの操作なしにリモートで利用可能な脆弱性のうち、脆弱性の利用に成功しても、攻撃を受けたシステムが恒久的に乗っ取られることはない脆弱性に適用されます。
- ユーザーの操作を必要とする、リモートで利用可能な脆弱性に適用されます。
- ローカルで利用可能な脆弱性のうち、脆弱性の利用に成功すると、攻撃を受けたシステムが恒久的に乗っ取られる脆弱性に適用されます。
- ローカルで利用可能な脆弱性のうち、脆弱性の利用に成功しても、攻撃を受けたシステムが恒久的に乗っ取られることはない脆弱性に適用されます。
- 当初、「中」に格付けされていたが、現在では、初期設定以外、配布数が少ないアプリケーションのみに存在する脆弱性に適用されます。
目的と有用性
McAfee Labs (旧: AVERT) のリスクアセスメントプログラムでは、一般のネットワークやお客様のサイトで直面する脅威がどの程度の危険をもたらすかを見極めます。McAfee Labsのグローバルな脅威の専門家チームは、お客様やPCユーザーが感染を防ぐための適切なセキュリティー対策を講じられるよう、最新の感染リスクと感染によって引き起こされる可能性がある結果に関する情報を提供しています。危険度評価は、ウイルス情報に投稿される脅威情報に盛り込まれており、マカフィーのWebサイトセキュリティ解析センターから参照できます。危険度評価は現在、ウイルス、ワーム、トロイの木馬といった悪質な脅威に対してのみ提供されており、不審なプログラム(PUP)は対象外となっています。
概要
現在、ウイルス、亜種、トロイの木馬などの悪性コードは15万以上あり、1か月に2,500〜4,000ほどの割合で増加しています。新たな脅威が発生した際にネットワーク管理者や個人ユーザーがネットワークとシステムを防護できるよう、McAfee Labsは脅威を以下の基準で格付けしています。
特定の脅威の危険度を評価する際、McAfee Labsは企業ユーザー、個人ユーザーそれぞれの危険度を判断します。この情報はMcAfee Labsの研究者が投稿する脅威情報に盛り込まれます。
危険度の評価基準
個人または企業に対する脅威の危険度は、以下の基準によって判断されます。
ただし、これは確率の問題です。たとえ、仮想ユーザー、仮想脅威、あるいは実際に脅威にさらされた個人または企業にとって真実だとしても、お客様が実際に感染するかどうかはわかりません。お客様のセキュリティに対する姿勢、対策、対応速度、対策の有効性、さらには単なる運によって左右されます。脅威の危険度を判断する際、McAfee Labsは世界中のお客様の平均確率を見極めようと努めています。危険度が低い脅威の影響を受けるのはごく一部のお客様であるという意味でもなければ、多くのユーザーが危険度の高い脅威を無傷で切り抜けられるという意味でもありません。
露出度:攻撃を受ける可能性
理論的には、露出度の見極めは実に簡単です。脅威が電子メールからもたらされ、10通に1通の割合で脅威が組み込まれている場合、露出度は10%になります。しかし、実際の状況はこのように単純ではありません。以下のような要因によって、実際の露出度が変わることがあります。
最も信頼性の高い唯一の露出度の判断基準は、現時点までの流布度です。これまでに実際に攻撃を受けたお客様からの報告数を流布度と見なすことができますが、以下の理由から、この流布度の見極めも難しい場合があります。
そのため、異なる流布度に対して、数字または絶対的な基準を定めることは困難です。以下の指針はいくつかの脅威では有効ですが、McAfee Labsは、10年間培ってきたマルウェア対策の経験に基づいて、ケースバイケースで指針を改定することがあります。場合によっては、通常よりも高い露出度判定になることがあります。
ペイロード:感染によってもたらされる被害
露出度と同様、被害を絶対的に見極めることは困難です。一般的に、目に見える明らかな被害は、目で見たり、定量化したりするのが難しい被害よりも軽いと考えられます。より複雑な被害の一例は以下の通りです。
これらを考慮し、以下の指針に基づいて、McAfee Labsは脅威がもたらす可能性がある被害を判断します。
危険度
McAfee Labsでは、深刻度により、脅威の危険度を公表しています。脅威の流布度に変化があれば、その脅威に対する危険度も変わります。各危険度の定義は以下の通りです。危険度ごとのお客様に推奨する対応策およびMcafee Labsによる対応策を危険度の説明とともに表にまとめています。
| 危険度 | 説明 | 例: |
|---|---|---|
| 高(感染拡大中) | 非常に短い間に、McAfee Labsの世界中の研究者によって検出されたウイルスです。ほぼ例外なく、大量メール送信、リモートでの脆弱性の利用によって拡散するため、数時間で世界中に影響を及ぼすこともしばしばです。 | |
| 高 | 危険度が「高」のウイルスは、一般のネットワーク上で発見されており、深刻な被害をもたらす可能性があります。多くの場合、幅広く使われているオペレーティングシステムを使用した一般的なプラットフォームで急速に広がります。ウイルスが深刻な被害、壊滅的な被害をもたらした場合、たとえ流布度が低くても、危険度「高」に分類されることがあります。 | |
| 中(要警戒) | 危険度が「中(要警戒)」のウイルスは、短時間で流布し、ペイロードが組み込まれています。また、多くの場合、一般的なシステムに感染し、一般的に使われているアプリケーションを介して広がります。この危険度は早い段階で警告を発するために設けられたものです。McAfee Labsでは、「中(要警戒)」のウイルスの流布を注視し、危険度を上げる必要があるかどうか判断します。 | |
| 中 | この危険度は、複数のマカフィーのお客様またはMcAfee Labsの研究者から報告が寄せられたウイルスに適用されます。破壊力の強いペイロードが組み込まれ、一般的なプラットフォーム、幅広く使われているアプリケーションに感染する可能性があります。 | |
| 低(要注意) | この危険度は、危険度は低いと思われるものの、マスコミから注目されているため、さらなる監視が必要と思われるウイルスに適用されます。「低(要注意)」のウイルスの中には、実際の流布は確認されていないもの、危険なペイロードは組み込まれていないものもあります。また、流布度が高く、広がる可能性があるウイルスの亜種の場合、「低(要注意)」に分類されることがあります。 | |
| 低 | この危険度に分類されるのは、実際の流布は確認されていない可能性があるウイルスや、危険なペイロードは組み込まれていないと思われるウイルスです。多くは無名のほとんど使われていないアプリケーションをターゲットにしていますが、中には一般的なプラットフォームで動作するものもあります。たとえ、ペイロードの分類が「きわめて深刻」、「予測不可能」であっても、このようなウイルスの危険度は低いと思われます。 | |
| 無し | この危険度は、ウイルス情報内で危険度を評価する必要がない脅威に対して使われます。いたずらメールはトロイの木馬ではなく、ウイルスのように感染しないため、リスク評価は無に分類されます。一般的なトロイの木馬やウイルスの説明、ヒューリスティックスキャンの説明も具体的な脅威性はないので、危険度は無となります。 |
危険度評価の更新
ウイルスの危険度は、時間の経過に伴い、上がる場合があります。たとえば、発生時の危険度評価が「低」だったウイルスが、その後、感染が広がるにつれて、「中」または「中(要警戒)」に格上げされることがあります。「中(要警戒)」に分類されたウイルスは、その後、危険度が「高」に格上げされるケースが多く見られます。ウイルスの流布度が下がると、危険度評価も下がります。ウイルスの危険度が高でなくなった後も、多くの場合、しばらくの間は危険度「中」に分類されます。
危険度が格上げされたウイルスの例:
| 危険度 | 推奨する対応策 | Mcafee Labsの対応策 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 全システムを更新(ウイルス定義ファイルまたはEXTRA.DAT) | 重要なシステムの更新 | 危険度の評価 | 修正プログラムの適用 | HIPS/NIPS シグネチャーのアップデート |
情報の投稿 | Extra.DATの作成 | 緊急DATリリース | プレスリリース | Stinger | ウイルス警報 | |
| 高(感染拡大中) | 至急 | 至急 | 推奨 | 至急 | 該当時 | あり | 必要時 | あり | あり | あり | 警報 |
| 高 | 至急 | 至急 | 推奨 | 至急 | 該当時 | あり | 必要時 | あり | あり | あり | 警報 |
| 中(要警戒) | 推奨 | 至急 | 推奨 | 推奨 | 該当時 | あり | 必要時 | あり | あり | あり | 警戒報告 |
| 中 | 推奨 | 推奨 | 推奨 | 推奨 | 該当時 | あり | 必要時 | あり | あり | あり | 警戒報告 |
| 低(要注意) | 次回の定期アップデート | 次回の定期アップデート | あり | 必要時 | 次回の定期アップデート | 通知 | |||||
| 低 | 必要時 | 要求に応じて | 次回の定期アップデート | ||||||||
| 無 | 必要時 | 要求に応じて | 次回の定期アップデート | ||||||||
注:
至急 - 修正プログラム(この格付けを持つ脅威による脆弱性の利用を防ぐために必要に応じて)、EXTRA.DAT、ウイルス定義ファイルをできるだけ速やかに適用します。
推奨 -McAfee Labsはできるだけ速やかにこれらの措置を講じることを推奨します(人材不足または適切なテクノロジーが配備されていないため、措置を講じることができない場合)
該当時 -EnterceptおよびMcAfee Network Security Platformの保護が有効な場合、危険度が「中」以上の脅威に対してシグネチャーがリリースされます。
必要時 -最新のウイルス定義ファイルが脅威の検出に対応していない場合のみ、EXTRA.DATファイルが作成されます。
次回の定期アップデート - 危険度が低(要注意)以下の脅威は、危険度が格上げされない限り、次回の定期アップデートでの対応となります。
McAfee Labs 脆弱性の深刻度について
目的と有用性
マカフィーの脆弱性リスクアセスメントプログラムでは、脆弱性および関連するエクスプロイトコードがどの程度の脅威をもたらすかを見極めます。McAfee Labsのグローバルな脅威の専門家チームは、お客様が脆弱性から自身を保護するための適切なセキュリティ対策を講じられるよう、脆弱性と脆弱性によって引き起こされる可能性がある結果に関する情報を提供しています。深刻度評価は、脆弱性情報に投稿される情報に盛り込まれており、マカフィーのWebサイトでも提供されています。
概要
マカフィーの脆弱性リスクアセスメントプログラムでは、攻撃をもたらす可能性のあるシステムまたはインフラストラクチャーの脆弱性の深刻度を評価します。脆弱性により、企業および個人のシステムに大きなリスクがもたらされ、攻撃により、システム、データ、アプリケーションのアクセス、可用性、あるいは機密性が損なわれる可能性があります。マカフィーでは、脆弱性の深刻度評価を低、中、高、緊急に分類しています。これらの評価は主に、脆弱性の利用しやすさ、脆弱性の利用による影響に基づいて行われます。また、エクスプロイトコードなどのパラメーターの可用性にも基づいています。脆弱性の深刻度評価は厳格なアルゴリズム的評価の対象ではないため、多くの場合、危険度を決める際に判断が行われます。
深刻度の評価基準
McAfee Labs では、脆弱性の深刻度を見極める際、以下の基準を考慮します。
攻撃の発生源
脆弱性には、ネットワーク外から利用可能なもの(「リモートで利用可能な脆弱性」)、ローカルネットワークまたは特定ユーザーのシステムからのみ利用可能なもの(「ローカルで利用可能な脆弱性」)があります。ローカルで利用可能な脆弱性が受ける可能性があるのはネットワーク内の攻撃のみですが、リモートで利用可能な脆弱性は内部関係者やネットワーク外部の攻撃者から攻撃を受ける可能性があります。
自己実行機能の有無
脆弱性には、ターゲットの関与無しに利用可能なもの、ターゲットの無意識の協力によってのみ利用可能なものがあります。後者の場合、悪質なWebサイトにアクセスさせたり、悪質なメディアファイルを開かせたりするなど、ユーザーをだまして特定の行動をとらせます。
攻撃の結果
脆弱性は、コードの実行、アクセス権の昇格、機密情報の入手、アプリケーション、サービス、またはシステムのサービス拒否、恐喝などを行うため、利用されます。一般的に、コードの実行につながる脆弱性の深刻度が最も高く、サービス拒否を引き起こす脆弱性の深刻度はそれよりもずっと低いです。通常、サービス拒否攻撃が仕掛けられても、恒久的な被害がもたらされることはありません。
McAfee Labsでは、上記の基準に加えて、エクスプロイトコードの可用性、脆弱なシステム、アプリケーションの数、脆弱なソフトウェアの構成も考慮に入れています。脆弱性のライフサイクルにより、深刻度評価は時間の経過と共に変わります。
深刻度
緊急
高
中
低
以下の表には、上記の基準に基づく脆弱性の危険度がまとめられています。
| 攻撃の発生源 | 自己実行機能の有無 | 恒久的な乗っ取り | 脆弱性の深刻度 | エクスプロイトコード公開時の脆弱性の深刻度 |
|---|---|---|---|---|
| リモート | ユーザーの操作は不要 | あり | 高 | 緊急 |
| リモート | ユーザーの操作は不要 | なし | 中 | 高 |
| リモート | ユーザーの操作が必要 | あり/なし | 中 | 高 |
| ローカル | 該当なし | あり | 中 | 高 |
| ローカル | 該当なし | なし | 低 | 低 |
