製品のセキュリティ プラクティス

弊社製品のセキュリティ プラクティスを読む

McAfee は、弊社の顧客のコンピューター、ネットワーク、デバイス、データを保護することに全力を尽くしています。弊社では、発生した問題を迅速に解決し、セキュリティ情報と KnowledgeBase の記事で推奨事項を提供しています。 詳細については、PSIRT チームまでお問い合わせください。 セキュリティ問題または脆弱性を McAfee に報告する場合は、以下の [セキュリティ脆弱性の報告] タブにある手順を確認してください。

ウイルスのサンプルの提出先テクニカル サポートへの連絡

2018 年 5 月 21 日: Spectre NG

2018 年 5 月 21 日、Intel が新しい 2 つのサイドチャネルの脆弱性を発見しました。Spectre NG というこの脆弱性は、McAfee のアプライアンス製品に影響を及ぼします。

  • CVE-2018-3639 - Speculative Store Bypass (SSB)。Variant 4 ともいいます。
  • CVE-2018-3640 - Rogue System Register Read (RSRE)。Variant 3a ともいいます。

KnowledgeBase の記事:

  • KB90619 - Spectre-NG に対する McAfee の対応

 

すべてのバナー アーカイブを見る
セキュリティ情報
セキュリティ情報 - 個人のお客様向け
TS102769 Microsoft セキュリティ更新 2018 年 1 月 (Meltdown と Spectre) と McAfee コンシューマー向け製品 (CVE-2017-5715、CVE-2017-5753、CVE-2017-5754) 2018 年 1 月 3 日
TS102723 仲介者攻撃の脆弱性 (CVE-2017-3897、CVE-2017-3898) を修正するマカフィー リブセーフと McAfee Security Scan Plus の更新 2017 年 8 月 31 日
TS102714 潜在的な仲介者攻撃の脆弱性 (CVE-2017-3897) を修正する McAfee Security Scan Plus の更新 2017 年 7 月 28 日
TS102651 マカフィー アンチウイルス プラス、マカフィー インターネットセキュリティ、マカフィー トータル プロテクションの潜在的な脆弱性 (CVE-2017-4028) を修正する更新 2017 年 3 月 29 日
TS102614 McAfee Security Scan Plus の潜在的な脆弱性 (CVE-2016-8026) の修正 2016 年 12 月 21 日
TS102593 McUICnt.exe による読み込みの問題 (CVE-2016-8008) を修正する Security Scan Plus の更新 2016 年 11 月 14 日
TS102570 未承認の DLL ファイルを読み込む McOemCpy.exe の問題の修正 2016 年 10 月 7 日
TS102516 マカフィー ファイル ロックのバッファーオーバーフローとメモリー リークの問題 (CVE-2015-8772) を修正するマカフィー トータル プロテクションの更新 2016 年 4 月 28 日
TS102462 複数の McAfee インストーラーとアンインストーラーのセキュリティ パッチ (CVE-2015-8991、CVE-2015-8992、CVE-2015-8993) 2015 年 12 月 3 日
TS102504 コンシューマー製品の潜在的な脆弱性を McAfee に通知する方法 ハウツー ガイド

McAfee 製品の脆弱性またはセキュリティ問題についてご質問がございましたら、PSIRT@McAfee.com までメールにてお問い合わせください。 重要な情報については、McAfee の PGP 公開鍵で暗号化してください。
可能な限り詳しい情報をお知らせください。たとえば、次のような情報をご提供ください。

  • 発見者の連絡先情報:
    • お名前 (フルネームでもニックネームでも構いません)
    • 住所 (番地までご記入ください)
    • 所属/会社
    • メール アドレス
    • 電話番号
  • 製品情報:
    • 影響を受ける製品またはハードウェアのバージョン (ビルド番号が分かる場合にはビルド番号)
    • オペレーティング システム (分かる場合)
    • ソフトウェアまたはハードウェアの構成
  • 脆弱性に関する情報:
    • 脆弱性に関する詳しい説明
    • 脆弱性の再現/検証に使用したサンプル コード
    • 既知のエクスプロイトに関する情報
    • CVE 番号 (脆弱性がすでに登録されている場合)
    • エンジニアリングの解析や原因の特定に役立つ URL またはリンク
  • コミュニケーション プラン:
    • 公開プラン (日時と場所)
    • セキュリティ情報に発見者として名前を表示するかどうか

McAfee Product Security Group (PSG) または製品セキュリティ インシデント対応チーム (PSIRT) の担当者が、メールの内容を確認後、問題解決のための協力を要請します。

トリアージ

製品の脆弱性はすべて McAfee Product Security Group が対応します。 他の問題については、以下のいずれかにご連絡ください。

IT アプリケーションと Web アプリケーションの脆弱性は、McAfee Global Security Services (GSS) のセキュリティ オペレーション センター (SOC) が対応します。

IT アプリケーションまたは Web の脆弱性
McAfee セキュリティ オペレーション センター (SOC)
メール: abuse.report@mcafee.com
電話: +1 972-987-2745

現在出荷している製品のパフォーマンスに関する外部からのお問い合わせは、McAfee テクニカル サポートが対応します。

製品/ソフトウェアのパフォーマンス、契約に関する問題
McAfee テクニカル サポート
Web: http://www.mcafee.com/us/support.aspx

ウイルスとマルウェアのサンプルは McAfee Labs で受け付けます。

ウイルス サンプルの送付先
McAfee Labs
メール: virus_research@mcafee.com
Web: http://www.mcafee.com/enterprise/en-us/threat-center/how-to-submit-sample.html

McAfee PSIRT の連絡先
メール: PSIRT@McAfee.com
電話: +1 408-753-5752

PSIRT の方針について

実用的な情報の提供
McAfee では、実用的な回避策、パッチ、HotFix、バージョンの更新を提供することなく、製品またはソフトウェアの脆弱性を一般に公開することはありません。このような情報なく脆弱性の情報を公開することは、ハッカーに対して弊社製品の弱点を知らせ、顧客を非常に危険な状態にしてしまう可能性があります。 HeartBleed など、メディアで大きく報じられている脆弱性については、弊社の認識と対応を表明するバナーを掲載します。

公平性
McAfee では、すべての顧客に同じレベルで製品の脆弱性を公開します。 大企業に事前に通知することはありません。 事前通知は、PSG の承認を受け、厳格な NDA を締結している場合に限り、状況に応じて実施します。

発見者
McAfee では、次の場合に限り、外部の脆弱性発見者のクレジットを表示します。

  • 発見者として名前を明示することを望んだ場合。
  • 発見された脅威がゼロデイでない場合。あるいは、SB または KB の公開前に調査結果が公になっている場合。

弊社では、組織、個人あるいはその両方を発見者として明示します。

CVSS スコア
Common Vulnerability Scoring System (CVSS) の最新バージョンを使用します。 現在使用しているバージョンは CVSS v3 です。

すべてのセキュリティ情報には、各脆弱性の CVSS スコアと関連する CVSS ベクトルを明示する必要があります。 ベース スコアは必須です。 一時スコアと環境スコアはオプションです。 基本的には、ベース スコアは、NIST が CVE に割り当てたスコアと一致させる必要があります。

Support Notification Service (SNS) メッセージ
すべてのセキュリティ情報には、Support Notification Service (SNS) メッセージ、通知またはアラートを明示する必要があります。 このサービスは、他の顧客と同様に McAfee Enterprise Support のユーザーも利用しています。

SNS テキスト アラートを購読するには、SNS リクエスト センター に移動して購読してください。

対応方針
McAfee の修正とアラート対応は、最も高い CVSS ベース スコアに基づいて行われます。

優先度 (セキュリティ)CVSS v2 スコア 標準的な修正対応* SNS
P1 - 重大 8.5-10.0 高 HotFix 警報
P2 - 高 7.0-8.4 高 パッチ 通知
P3 - 中 4.0-6.9 中 パッチ 通知
P4 - 低 0.0-3.9 低 バージョンの更新 オプション
P5 - 情報 0.0 撤回予定。 情報。 NA

* 注: 修正対応は、脆弱性の重大度、製品のライフサイクル、修復の可能性に基づいて実施されます。 上記の標準的な修正対応は、すべての対応製品バージョンについて HotFix、パッチ、アップデートを作成することを保証するものではありません。


外部への情報公開
McAfee では、CVSS ベース スコア、顧客からの問い合わせ件数、メディアの注目度に応じて外部への情報公開を行っています。                                   

  • SB = セキュリティ情報 (4-10)
  • KB = KnowledgeBase の記事 (2-4)
  • SS = サステイニング ステートメント (0-4)
  • NN = 不要 (0)
 CVSS = 0
0 < CVSS < 4
4 ≤ CVSS < 7
7 ≤ CVSS ≤ 10
外部への開示 (CVE) 複数の照会がある場合には KB、ない場合には NN。 KB SB、SNS SB、SNS
顧客への開示 SS SS SB、SNS SB、SNS
内部公開 NN リリース ノートでの記述 SB (リリース後)、リリース ノートでの記述 SB
(リリース後)、リリース ノートでの記述


危機的なシナリオ
複数の製品に影響を及ぼす危険度高の脆弱性が一般に開示された場合、1 つの製品のパッチと一緒にセキュリティ情報を公開します。その後、他のパッチで更新を行い、使用可能になり次第、他の製品に関する情報を提供します。

脆弱な複数の製品をセキュリティ情報で通知する場合、すべての製品 (法人向け/個人向け) が次のカテゴリで分類されます。

  • 脆弱性が存在するが、更新された製品
  • 脆弱性が存在し、まだ更新されていない製品
  • 脆弱性が存在するが、危険は低い製品 (標準配備のベスト プラクティスを提示)
  • 脆弱でない製品
  • 調査中の製品 (オプション)

危機的な状況を除き、セキュリティ情報が金曜日の午後に配信されない場合もあります。

脆弱性とリスク スコア
McAfee は、業界標準の CVSS 脆弱性評価システムに参加しています。 特定の脆弱性が McAfee の顧客に及ぼすリスクを判断するときに、CVSS スコアは一つの目安になります。 CVSS スコアは、McAfee 製品や、McAfee 製品が実行されている実行環境に存在する脆弱性の重大度を評価するものではありません。

McAfee では、CVSS スコアだけでなく、JGERR (Just Good Enough Risk Rating) を使用して、McAfee 製品に影響を及ぼす可能性がある潜在的なリスクを評価しています。 JGERR は、2012 年に SANS Institute Smart Guide になりました。JGERR は、Open Group 規格の FAIR (Factor Analysis of Information Risk) をベースにしています。JGERR によるリスク評価では、脅威エージェントの存在とアクティビティ、攻撃ベクトル、脅威エージェントに対する脆弱性の露出、脆弱性を利用する難易度、攻撃による影響などの要因も検討されます。McAfee のリスク評価では、隔離した脆弱性も分析します。

CVSS 基本スコアにより、特定のインシデントに対する初期対応を判断します。McAfee のリスク評価では、パッチまたは更新を提供するまでの時間も考慮します。

セキュリティ情報の製品リストには、「脆弱」、「脆弱でない」、「脆弱だが攻撃は不可能」、「脆弱だがリスクは低い」という指標が付いている場合があります。これらのカテゴリの意味と顧客に対する潜在的な影響は次のとおりです。

  • 脆弱: 製品に脆弱性が存在します。 この脆弱性は、顧客に対するリスクとなります。標準的な配備環境で脆弱性が攻撃されたときの重大度を表す指標として、関連する CVSS スコアを使用する場合もあります。
  • 脆弱でない: 製品に脆弱性はありません。また、攻撃可能な脆弱なコンポーネントはありません。 製品の使用によるリスクはありません。
  • 脆弱だが攻撃は不可能: 製品に脆弱性が存在します。おそらく、イメージ内のライブラリまたは実行ファイルが脆弱な状態ですが、製品が適切なセキュリティ対策で管理されているので、脆弱性に対する攻撃は非常に困難です。 製品の使用によるリスクはありません。
  • 脆弱だがリスクは低い: 製品に脆弱性が存在します。おそらく、ソフトウェア イメージのライブラリまたは実行ファイルが脆弱な状態ですが、攻撃による影響は重大でなく、攻撃によるメリットはありません。 標準的な推奨配備環境で製品を使用している場合、リスクはありません。