report

製品のセキュリティ プラクティス

弊社製品のセキュリティ プラクティスを読む

McAfee は、弊社の顧客のコンピューター、ネットワーク、デバイス、データを保護することに全力を尽くしています。弊社では、発生した問題を迅速に解決し、セキュリティ情報とナレッジベースの記事で推奨事項を提供しています。 サポートの利用、ウイルス サンプルの送信、URL のカテゴリに関する依頼については、該当するボタンを選択してください。 弊社の製品や Web サイトの脆弱性を見つけた場合は、以下の [セキュリティ脆弱性の報告] タブをクリックしてお知らせください。

ウイルス サンプルの提出法人のお客様向けのサポート個人のお客様向けのサポートURL の分類に関する依頼

2018 年 5 月 21 日: Spectre NG

2018 年 5 月 21 日、Intel が新しい 2 つのサイドチャネルの脆弱性を発見しました。Spectre NG というこの脆弱性は、McAfee のアプライアンス製品に影響を及ぼします。

  • CVE-2018-3639 - Speculative Store Bypass (SSB)。Variant 4 ともいいます。
  • CVE-2018-3640 - Rogue System Register Read (RSRE)。Variant 3a ともいいます。

ナレッジベースの記事:

  • KB90619 - Spectre-NG に対する McAfee の対応

 

すべてのバナー アーカイブを見る
セキュリティ情報
セキュリティ情報 - 個人のお客様向け

McAfee では、HackerOne と提携して、弊社の製品および Web サイトで確認された潜在的なセキュリティ問題、脆弱性に関する報告を処理しています。 弊社では、同社と非公開のプログラムを運営しています。レポートを送信する前に、このプログラムに参加していただく必要があります。

初めてレポートを送信する場合は、security_report@mcafee.com までメールでお送りください。

招待メールが HackerOne のシステムから自動的に送信されます。 以降のレポートは、HackerOne システムで直接お送りいただけます。

招待メールに含まれている情報は HackerOne のシステムに自動的に追加されます。

システムにアクセスしたら、次の情報を提供してください。

  • 連絡先情報 (このシステムでのやり取りはすべてこの宛先に送信されます)
  • 発見した問題の概要
  • 問題の再現手順 (サンプルコード、スクリーンショット、動画を含む)
  • 製品の脆弱性
    • 製品、バージョン、オペレーティング システム
  • Web サイトの脆弱性
    • ブラウザーとそのバージョン
  • 公開プラン

製品または Web サイトの脆弱性の報告

McAfee PSIRT
メール: security_report@mcafee.com

法人向け製品またはソフトウェアのパフォーマンス、サブスクリプションの問題
法人のお客様向けのサポート

コンシューマー向け製品またはソフトウェアのパフォーマンス、サブスクリプションの問題
個人のお客様向けのサポート

ウイルス サンプルの提出
詳細

分類を行う URL の送信、分類に関する問題
詳細

McAfee PSIRT の連絡先
メール: Security_Report@McAfee.com

PSIRT の方針について

実用的な情報の提供
McAfee では、実用的な回避策、パッチ、HotFix、バージョンの更新を提供することなく、製品またはソフトウェアの脆弱性を一般に公開することはありません。このような情報なく脆弱性の情報を公開することは、ハッカーに対して弊社製品の弱点を知らせ、顧客を非常に危険な状態にしてしまう可能性があります。 HeartBleed など、メディアで大きく報じられている脆弱性については、弊社の認識と対応を表明するバナーを掲載します。

公平性
McAfee では、すべての顧客に同じレベルで製品の脆弱性を公開します。 大企業に事前に通知することはありません。 事前通知は、CISO の承認を受け、厳格な NDA を締結している場合に限り、状況に応じて実施します。

発見者
McAfee では、次の場合に限り、外部の脆弱性発見者のクレジットを表示します。

  • 発見者として名前を明示することを望んだ場合。
  • 発見された脅威がゼロデイでない場合。あるいは、SB または KB の公開前に調査結果が公になっている場合。

弊社では、組織、個人あるいはその両方を発見者として明示します。

CVSS スコア
Common Vulnerability Scoring System (CVSS) の最新バージョンを使用します。 現在使用しているバージョンは CVSS v3 です。

すべてのセキュリティ情報には、各脆弱性の CVSS スコアと関連する CVSS ベクトルを明示する必要があります。 ベース スコアは必須です。 一時スコアと環境スコアはオプションです。 基本的には、ベース スコアは、NIST が CVE に割り当てたスコアと一致させる必要があります。

Support Notification Service (SNS) メッセージ
すべてのセキュリティ情報には、Support Notification Service (SNS) メッセージ、通知またはアラートを明示する必要があります。 このサービスは、他の顧客と同様に McAfee Enterprise Support のユーザーも利用しています。

SNS テキスト アラートを購読するには、SNS リクエスト センター に移動して購読してください。

対応方針
McAfee の修正とアラート対応は、最も高い CVSS ベース スコアに基づいて行われます。

優先度 (セキュリティ)CVSS スコア 標準的な修正対応* SNS
P1 - 重大 8.5-10.0 高 HotFix 警報
P2 - 高 7.0-8.4 高 更新 通知
P3 - 中 4.0-6.9 中 更新 通知
P4 - 低 0.0-3.9 低 バージョンの更新 オプション
P5 - 情報 0.0 撤回予定。 情報。 NA

* 注: 修正対応は、脆弱性の重大度、製品のライフサイクル、修復の可能性に基づいて実施されます。 上記の標準的な修正対応は、すべての対応製品バージョンについて HotFix、パッチ、アップデートを作成することを保証するものではありません。


外部への情報公開
McAfee では、CVSS ベース スコア、顧客からの問い合わせ件数、メディアの注目度に応じて外部への情報公開を行っています。                                   

  • SB = セキュリティ情報 (4-10)
  • KB = ナレッジベースの記事 (2-4)
  • SS = サステイニング ステートメント (0-4)
  • NN = 不要 (0)
 CVSS = 0
0 < CVSS < 4
4 ≤ CVSS < 7
7 ≤ CVSS ≤ 10
外部への開示 (CVE)* 複数の照会がある場合には KB、ない場合には NN。 KB SB、SNS SB、SNS
顧客への開示 SS SS SB、SNS SB、SNS
内部公開 NN リリース ノートでの記述 SB (リリース後)、リリース ノートでの記述 SB
(リリース後)、リリース ノートでの記述

* デフォルトでは、McAfee は 4.0 以下の問題に対して CVE を発行しません。



危機的なシナリオ
複数の製品に影響を及ぼす危険度高の脆弱性が一般に開示された場合、1 つの製品のパッチと一緒にセキュリティ情報を公開します。その後、他のパッチで更新を行い、使用可能になり次第、他の製品に関する情報を提供します。

脆弱な複数の製品をセキュリティ情報で通知する場合、すべての製品 (法人向け/個人向け) が次のカテゴリで分類されます。

  • 脆弱性が存在するが、更新された製品
  • 脆弱性が存在し、まだ更新されていない製品
  • 脆弱性が存在するが、危険は低い製品 (標準配備のベスト プラクティスを提示)
  • 脆弱でない製品
  • 調査中の製品 (オプション)

危機的な状況を除き、セキュリティ情報が金曜日の午後に配信されない場合もあります。

脆弱性とリスク スコア
McAfee は、業界標準の CVSS 脆弱性評価システムに参加しています。 特定の脆弱性が McAfee の顧客に及ぼすリスクを判断するときに、CVSS スコアは一つの目安になります。 CVSS スコアは、McAfee 製品や、McAfee 製品が実行されている実行環境に存在する脆弱性の重大度を評価するものではありません。

CVSS 基本スコアにより、特定のインシデントに対する初期対応を判断します。

セキュリティ情報の製品リストには、「脆弱」、「脆弱でない」、「脆弱だが攻撃は不可能」、「脆弱だがリスクは低い」という指標が付いている場合があります。これらのカテゴリの意味と顧客に対する潜在的な影響は次のとおりです。

  • 脆弱: 製品に脆弱性が存在します。 この脆弱性は、顧客に対するリスクとなります。標準的な配備環境で脆弱性が攻撃されたときの重大度を表す指標として、関連する CVSS スコアを使用する場合もあります。
  • 脆弱でない: 製品に脆弱性はありません。また、攻撃可能な脆弱なコンポーネントはありません。 製品の使用によるリスクはありません。
  • 脆弱だが攻撃は不可能: 製品に脆弱性が存在します。おそらく、イメージ内のライブラリまたは実行ファイルが脆弱な状態ですが、製品が適切なセキュリティ対策で管理されているので、脆弱性に対する攻撃は非常に困難です。 製品の使用によるリスクはありません。
  • 脆弱だがリスクは低い: 製品に脆弱性が存在します。おそらく、ソフトウェア イメージのライブラリまたは実行ファイルが脆弱な状態ですが、攻撃による影響は重大でなく、攻撃によるメリットはありません。 標準的な推奨配備環境で製品を使用している場合、リスクはありません。