脅威の評価

マカフィーでは、McAfee Labs で検出した電子的な脅威の危険度を評価しています。マカフィーのグローバルな脅威の専門家チームが脅威の詳細、危険度、対策、推奨される対応策に関する情報を提供します。マカフィーでは、一貫した明確なプロセスに従って脅威の危険度を評価しています。現在、ウイルス、ワーム、トロイの木馬など、悪質な脅威に対してのみ脅威の評価を行っています。不審なプログラム (PUP) は評価の対象外としています。

マカフィーでは、脅威を次のカテゴリに分類しています。
高 (感染拡大中)

中 (要警戒)

低 (要注意)

なし

マカフィーの脆弱性評価方法をご覧ください。

脅威の評価基準

個人または法人に対する脅威の危険度は、次の基準に従って判断します。

  1. 攻撃を受ける可能性 (露出度)
  2. 攻撃を受けたときの影響 (影響)

ただし、これは確率の問題です。ここではユーザーと脅威を仮定して危険度を判定していますが、個人または企業のお客様が実際に影響を受けるとは限りません。影響を受けるかどうかは、お客様のセキュリティに対する考え方、対策の内容、対応の速さ、対策の有効性によって変わります。また、単なる偶然で影響を受けない場合もあります。McAfee Labs では、脅威の危険度を判断するときに、世界中のお客様の平均的な確率を測定しています。一部のユーザーは危険度が低い脅威の影響を受けないことを意味するものでも、多くのユーザーが危険度の高い脅威の影響を受けることを意味するものでもありません。

露出度: 攻撃を受ける可能性

理論的には、露出度の見極めは実に簡単です。脅威がメールからもたらされ、10 通に 1 通の割合で脅威が含まれている場合、露出度は 10% になります。しかし、実際はこのように単純ではありません。以下のような要因で露出度が変わることがあります。

  • 想定される対象の数と一般性。Microsoft Windows の脅威は Macintosh や Unix の脅威よりも効果的に拡散する可能性が高くなります。
  • 脅威が利用できる拡散/感染手段の数。
  • これらの手段の一般性。たとえば、メールのユーザー数は P2P ファイル共有プログラムよりも多くなります。
  • 攻撃の成功にユーザーの操作が必要かどうか。
  • ユーザーの操作が必要な場合、ユーザーを騙して脅威を実行させるために使用されるソーシャル エンジニアリングの有効性。
  • 脅威がソフトウェアの脆弱性を悪用する場合、パッチの可用性とパッチの提供期間。
  • 攻撃を阻止できる対策の有無と有効性。脅威をプロアクティブに検出できるウイルス対策ベンダーの数。
  • ソーシャル エンジニアリングや未修正の脆弱性がもたら危険に対するユーザーの認識度。メディアの報道等で、同じ手段を利用する過去の脅威がどの程度認識されているか。
  • 他の脅威に関する過剰な警告により、ユーザーがセキュリティ業界の警告にどの程度鈍感になっているか。
  • 脅威のコードに存在する制約やバグの数、種類。
  • 脅威が実際に散布されたかどうか、また、その方法。時間をかけてばらまかれたのか、それともスパムで大量送信されたのか。初期の拡散が阻止されたかどうか。
  • セキュリティ ベンダー、インターネット サービス プロバイダー、取締機関を含むセキュリティ コミュニティの脅威への対応の速さと有効性。

最も信頼性の高い露出度の判断基準は現時点までの流布度です。流布度は、これまでに実際に攻撃を受けたお客様からの報告数と考えることができます。ただし、以下の理由から流布度の見極めが難しい場合があります。

  • お客様が感染を通知できない場合がある
  • お客様が阻止された脅威を感染と報告する場合や、阻止されなかった脅威を感染と報告しない場合がある
  • 感染したメールの量から感染率を推定しても根拠が薄い。1 台の感染マシンに何通の感染メールがあるかによって、脅威の規模が大きく異なります。

このため、異なる流布度に対して、数値や絶対的な基準を定めることは困難です。以下の指針は一部の脅威では有効ですが、McAfee Labs では 10 年以上のマルウェア対策の経験に基づき、脅威によっては指針を変更することがあります。このため、通常よりも高い露出度判定になることもあります。

  • 最大: 一般のネットワーク上で脅威が確認され、4 時間以内に 20 件を超える届出があった場合。広く利用されているオペレーティング システムやアプリケーションの未修正の脆弱性を悪用し、二次感染の兆候が見られる脅威がこのカテゴリに分類されます。
  • : 一般のネットワーク上で脅威が確認され、平日 (8時間以内) に 20 件を超える届出があった場合。届出が 1 つの国または地域に限られることもあれば、多くの国や地域から寄せられる場合もあります。広く利用されているオペレーティング システムやアプリケーションの修正済みの脆弱性を悪用する脅威や、あまり一般的でないアプリケーションやオペレーティング システムの未修正の脆弱性を悪用する脅威がこのカテゴリに分類されます。
  • : 一般のネットワーク上で脅威が確認され、届出が 24 時間で 20 件に満たない場合。数日前からパッチが提供されている脆弱性を悪用する脅威がこのカテゴリに分類されます。
  • : McAfee Labs の研究者が脅威の存在を確認しているが、数日たっても感染の届出がほとんどない場合。

ペイロード: 感染によってもたらされる被害

露出度と同様に、被害の度合いを絶対的に評価することは困難です。一般に、目に見える明らかな被害は、目で見たり、定量化が難しい被害よりも軽いと考えられます。より複雑な被害の例としては、次のようなものがあります。

  • データや機密ファイルの第三者への送信
  • データの漏えいによる信用の失墜や法的責任
  • 将来、任意のコードの実行を可能にするコンポーネントのインストール (バックドア、ボット)
  • データ ファイルのわずかな操作 (XM/Compat.A を参照)
  • 第三者に対する攻撃 (DDoS クライアント)
  • プリンターなど、ネットワークに接続されている他の機器で発生する問題 (W32/Bugbear@MM を参照)
  • セキュリティ製品の終了または干渉で未知の攻撃を受ける可能性

McAfee Labsでは、これらの要因を考慮し、以下の指針に従って脅威による被害を判断しています。

  • 予測不能な損害: 脅威が機密データを第三者に流出したり、新たなセキュリティ ホールを作り出したり、ネットワーク全体を停止したりします。
  • 非常に深刻な損害: 脅威がデータを自動的に操作したり、他に被害をもたらします。
  • 深刻な被害: 脅威が大量のファイルを削除したり、ハードディスクをフォーマットしたり、フラッシュ BIOS を削除します。
  • 中度の損害: 脅威が個々のファイルを削除したり、一時的にコンピューターを使用不能にします。
  • 微小の損害: 脅威がテキストを偽造したり、音を再生します。

脅威の危険度

McAfee Labs では、深刻度により、脅威の危険度を公表しています。脅威の流布度に変化があれば、その脅威に対する危険度も変わります。各危険度の定義は次のとおりです。危険度の定義とともに、各危険度でお客様に推奨する対応策と Mcafee Labs による対応策についても説明しています。推奨する対応策は、お客様の要件に応じて変更する必要があります。

高 (感染拡大中)
非常に短い間に、世界中の McAfee Labs の研究者によって検出されたウイルスです。ほぼ例外なく、大量メール送信、リモートでの脆弱性の利用で拡散するため、数時間で世界中に影響を及ぼすことも少なくありません。

例:

  • W97M/Melissa
  • VBS/Loveletter
  • VBS/VBSWG (Anna)
  • W32/Nimda
  • W32/Mydoom


このカテゴリの脅威は、一般のネットワーク上で発見されており、深刻な被害をもたらす可能性があります。多くの場合、広く使用されているオペレーティング システムが稼動している一般的なプラットフォームで急速に広がります。脅威が深刻な被害、壊滅的な被害をもたらした場合、流布度が低くても、危険度高に分類される場合があります。

例:

  • Win95/CIH
  • VBS/Newlove
  • W32/SQLSlammer.worm
  • W32/Sobig.f
  • W32/IRCbot.worm!MS05-039

中 (要警戒)

このカテゴリの脅威は短時間で流布し、ペイロードが含まれています。多くの場合、一般的なシステムに感染し、一般的に使われているアプリケーションを介して広がります。この危険度は早期に警告を発するために設けられたものです。McAfee Labs では、このカテゴリの脅威の流布を注視し、危険度を上げる必要があるかどうか判断します。

例:

  • W97M/Resume
  • W32/Badtrans.b
  • W32/Fizzer.gen
  • W32/Blaster.worm
  • W32/Bagle.aa

この危険度は、マカフィーの複数のお客様または McAfee Labs の研究者から報告が寄せられた脅威に適用されます。破壊力の強いペイロードが含まれ、一般的なプラットフォーム、幅広く使用されているアプリケーションに感染する可能性があります。

例:

  • W32/Sober.c
  • W32/Bagle
  • W32/Netsky.b
  • W32/Sasser.worm
  • W32/Zafi.d

低 (要注意)
この危険度は、危険度は低いと思われるものの、マスコミから注目されているため、さらなる監視が必要と思われる脅威に適用されます。この脅威の中には、実際の流布は確認されていないものや、危険なペイロードが含まれないものもあります。また、流布度が高く、拡散の可能性がある脅威の亜種の場合、このカテゴリに分類されることがあります。

例:

  • W32/Bugbros@MM
  • W32/Bizex.worm
  • W32/Evaman@MM
  • W64/Shruggle


この危険度に分類されるのは、実際の流布は確認されていない可能性がある脅威や、危険なペイロードが含まれていないと思われる脅威です。多くは無名のほとんど使用されていないアプリケーションを標的にしていますが、中には一般的なプラットフォームで動作するものもあります。

例:

  • W32/Cycle.worm.a
  • W32/Reatle.gen
  • W32/Vulgar

なし
この危険度は、脅威の説明で危険度を評価する必要がない脅威に対して使用されます。たとえば、いたずらメールはトロイの木馬ではなく、ウイルスのように感染しないため、リスク評価は「なし」に分類されます。トロイの木馬やウイルスの系列の説明、ヒューリスティック スキャンの説明も、具体的な脅威性はないので、危険度は「なし」となります。

脅威評価の更新

脅威の危険度は、時間の経過に伴い、上昇する場合があります。たとえば、発生時の評価が「低」だったウイルスが、その後、感染が拡大するにつれて「中」または「中 (要警戒)」に上がる場合があります。「中 (要警戒)」に分類された脅威が危険度高に格上げされるケースも少なくありません。脅威の流布度が下がると、危険度の評価も下がります。脅威の危険度が「高」でなくなった後も、多くの場合、しばらくの間は危険度中に分類されます。

危険度が格上げされた脅威の例:

  • IRC/Stages
  • W32/SirCam
  • W32/APost
脅威の危険度 推奨する対応策 Mcafee Labs の対応策
すべてのシステムの更新 (.DAT または EXTRA.DAT) 重要なシステムの更新 危険度の評価 パッチの適用 HIPS/NIPS シグネチャの更新 情報の投稿 Extra.DAT の作成 緊急 DAT のリリース プレス リリース Stinger ウイルス警報  
高 (感染拡大中) 至急 至急 推奨 至急 該当時 あり 必要時 はい はい はい 警報
至急 至急 推奨 至急 該当時 あり 必要時 はい はい はい 警報
中 (要警戒) 推奨 至急 推奨 推奨 該当時 はい 必要時 はい はい はい アドバイザリ
推奨 推奨 推奨 推奨 該当時 はい 必要時 はい はい はい アドバイザリ
低 (要注意) 次回の定期更新 次回の定期更新       あり 必要時 次回の定期更新     通知
          必要時 要求に応じて 次回の定期更新      
なし           必要時 要求に応じて 次回の定期更新      

 

至急: パッチ (脅威による脆弱性の悪用を防ぐために必要な場合)、EXTRA.DAT、ウイルス定義ファイルをできるだけ速やかに適用する必要があります。

推奨: McAfee Labs では、できるだけ速やかにこれらの措置を講じることを推奨しています。

該当時: McAfee Intrusion Prevention System および Network Security Platform の保護が有効な場合、危険度中以上の脅威に対してシグネチャをリリースします。

必要時: 最新の .DAT ファイルが脅威の検出に対応していない場合のみ、EXTRA.DAT ファイルを作成します。

次回の定期更新: 危険度が「低 (要注意)」以下の脅威は、危険度が格上げされない限り、次回の定期更新での対応になります。