製品セキュリティ情報

 

弊社製品のセキュリティ プラクティスを読む

今すぐダウンロード

McAfee は、弊社の顧客のコンピューター、ネットワーク、デバイス、データを保護することに全力を尽くしています。弊社では、発生した問題を迅速に解決し、セキュリティ情報と KnowledgeBase の記事で推奨事項を提供しています。

ウイルス サンプルの提出 テクニカル サポートへのお問い合わせ PSIRT へのお問い合わせ
2017 年 11 月 20 日、Intel ファームウェアの複数の脆弱性 (INTEL-SA-00086) が報告されました。Intel マザーボードを搭載している McAfee アプライアンスの一部がこの問題の影響を受ける可能性があります。この脆弱性の 1 つが悪用されると、バッファー オーバーフローが発生し、管理者権限のないユーザーによる特権昇格が可能になります。弊社では、信頼されたセキュリティ アドバイザーとして、この問題の調査に取り組んでいます。

現在、影響受けるアプライアンスの特定を行っています。初期分析では、この問題の影響を受ける McAfee アプライアンスは限定されています。すべてではありませんが、大半のアプライアンス製品は任意のコードの実行を許可しないため、これらの脆弱性が悪用される恐れはありません。
セキュリティ情報

マカフィー/Intel Security 製品の脆弱性またはセキュリティ問題にお気づきの際は、secure@intel.com (CC PSIRT@IntelSecurity.com) までメールにてお知らせください。重要な情報については、インテルの PGP 公開鍵で暗号化してください。
可能な限り詳しい情報をお知らせください。たとえば、次のような情報をご提供ください。

  • 発見者の連絡先情報:
    • お名前 (フルネームでもニックネームでも構いません)
    • 住所 (完全な住所は不要です。都道府県レベルでご記入ください)
    • 所属/会社
    • メール アドレス
    • 電話番号
  • 製品情報:
    • 影響を受ける製品またはハードウェアのバージョン (ビルド番号が分かる場合にはビルド番号)
    • オペレーティング システム (分かる場合)
    • ソフトウェアまたはハードウェアの構成
  • 脆弱性に関する情報:
    • 脆弱性に関する詳しい説明
    • 脆弱性の再現/検証に使用したサンプル コード
    • 既知のエクスプロイトに関する情報
    • CVE 番号 (脆弱性がすでに登録されている場合)
    • エンジニアリングの解析や原因の特定に役立つ URL またはリンク
  • コミュニケーション プラン:
    • 公開プラン
    • セキュリティ情報に発見者として名前を表示するかどうか

マカフィー製品セキュリティ グループ (PSG) または製品セキュリティ インシデント対応チーム (PSIRT) の担当者が、メールの内容を確認後、問題解決のための協力を要請します。

トリアージ

外部から報告された製品の脆弱性は、マカフィー製品セキュリティ グループが担当します。他の問題については、以下のいずれかにご連絡ください。

外部から報告された IT アプリケーションと Web アプリケーションの脆弱性は、マカフィー グローバル セキュリティ サービス (GSS) のセキュリティ オペレーション センター (SOC) が担当します。

IT アプリケーションまたは Web の脆弱性
マカフィー セキュリティ オペレーション センター (SOC)
メール: abuse.report@mcafee.com
電話: +1 972-987-2745

現在出荷している製品のパフォーマンスに関する外部からのお問い合わせは、マカフィー テクニカル サポートが対応します。

製品またはソフトウェアのパフォーマンス、契約に関する問題
マカフィー テクニカル サポート
Web: http://www.mcafee.com/jp/support.aspx

ウイルスとマルウェアのサンプルは McAfee Labs で受け付けます。

ウイルス サンプルの提出
McAfee Labs
メール: virus_research@mcafee.com
Web: http://www.mcafee.com/jp/threat-center/resources/how-to-submit-sample.aspx

Intel Security/McAfee PSIRT の連絡先
メール: secure@intel.com
電話: +1 408-753-5752

Intel PSIRT の連絡先
Intel 製品セキュリティ センター
メール: secure@intel.com
Web: https://security-center.intel.com

PSIRT の方針について

実用的な情報の提供
Intel Security では、実用的な回避策、パッチ、HotFix、バージョンの更新を提供することなく、製品またはソフトウェアの脆弱性を一般に公開することはありません。このような情報なく脆弱性の情報を公開することは、ハッカーに対して弊社製品の弱点を知らせ、顧客を非常に危険な状態にしてしまう可能性があります。

公平性
Intel Security では、すべての顧客に同じレベルで製品の脆弱性を公開します。大企業に事前に通知することはありません。事前通知は、PSG の承認を受け、厳格な NDA を締結している場合に限り、状況に応じて実施します。

発見者
Intel Security では、次の場合に限り、外部の脆弱性発見者のクレジットを表示します。

  • 発見者として名前を明示することを望んだ場合。
  • 発見された脅威がゼロデイでない場合。あるいは、SB または KB の公開前に調査結果が公になっている場合。

弊社では、組織、個人あるいはその両方を発見者として明示します。

CVSS スコア
Common Vulnerability Scoring System (CVSS) の最新バージョンを使用します。現在使用しているバージョンは CVSS v3 です。

すべてのセキュリティ情報には、各脆弱性の CVSS スコアと関連する CVSS ベクトルを明示する必要があります。ベース スコアと一時スコアの両方が必要です。ベース スコアは、NIST が CVE に割り当てたスコアと一致させる必要があります。 

Support Notification Service (SNS) メッセージ
すべてのセキュリティ情報には、Support Notification Service (SNS) メッセージ、通知またはアラートを明示する必要があります。このサービスは、他の顧客と同様に Intel Security エンタープライズ サポート ユーザーも利用しています。

SNS テキスト アラートを購読するには、SNS リクエスト センター で新しいアカウントを作成してください。

対応方針
Intel Security の修正とアラート対応は、最も高い CVSS ベース スコアに基づいて行われます。

優先度 (セキュリティ)CVSS v2 スコア標準的な修正対応SNS
P1 - 重大 8.5-10.0 高 HotFix アラート
P2 - 高 7.0-8.4 高 パッチ 通知
P3 - 中 4.0-6.9 中 パッチ 通知
P4 - 低 0.0-3.9 低 バージョンの更新 オプション
P5 - 情報 0.0 撤回予定。情報。 該当なし


外部への情報公開
Intel Security が外部に情報を公開する方法は、CVSS ベース スコア、顧客からの照会数、メディアでの注目度に応じて異なります。                                   

  • SB = セキュリティ情報 (4-10)
  • KB = KnowledgeBase の記事 (2-4)
  • SS = サステイニング ステートメント (0-4)
  • NN = 不要 (0)
 CVSS = 0
0 < CVSS < 4
4 ≤ CVSS < 7
7 ≤ CVSS ≤ 10
外部への開示 (CVE) 複数の照会がある場合には KB、ない場合には NN。 KB SB、SNS SB、SNS
顧客への開示 SS SS SB、SNS SB、SNS
内部公開 NN NN リリース ノートでの記述 SB
(リリース後)


危機的なシナリオ
複数の製品に影響を及ぼす危険度高の脆弱性が一般に開示された場合、1 つの製品のパッチと一緒にセキュリティ情報を公開します。その後、他のパッチで更新を行い、使用可能になり次第、他の製品に関する情報を提供します。

脆弱な複数の製品をセキュリティ情報で通知する場合、すべての製品 (法人向け/個人向け) が次のカテゴリで分類されます。

  • 脆弱性が存在するが、更新された製品
  • 脆弱性が存在し、まだ更新されていない製品
  • 脆弱性が存在するが、危険は低い製品 (標準配備のベスト プラクティスを提示)
  • 脆弱でない製品
  • 調査中の製品 (オプション)

危機的な状況を除き、セキュリティ情報が金曜日の午後に配信されない場合もあります。

脆弱性とリスク スコア
Intel Security は、業界標準の CVSS 脆弱性評価システムに参加しています。特定の脆弱性が Intel Security の顧客に及ぼすリスクを判断するときに、CVSS スコアは一つの目安になります。CVSS スコアは、Intel Security/マカフィー製品や、Intel Security 製品が実行されている実行環境に存在する脆弱性の重大度を評価するものではありません。

Intel Security では、CVSS スコアだけでなく、JGERR (Just Good Enough Risk Rating) を使用して、Intel Security 製品に影響を及ぼす可能性がある潜在的なリスクを評価しています。JGERR は、2012 年に SANS Institute Smart Guide になりました。JGERR は、Open Group 規格の FAIR (Factor Analysis of Information Risk) をベースにしています。JGERR によるリスク評価では、脅威エージェントの存在とアクティビティ、攻撃ベクトル、脅威エージェントに対する脆弱性の露出、脆弱性を利用する難易度、攻撃による影響などの要因も検討されます。Intel Security のリスク評価では、隔離した脆弱性も分析します。

CVSS 基本スコアにより、特定のインシデントに対する初期対応を判断します。Intel Security のリスク評価では、パッチまたは更新を提供するまでの時間も考慮します。

セキュリティ情報の製品リストには、「脆弱」、「脆弱でない」、「脆弱だが攻撃は不可能」、「脆弱だがリスクは低い」という指標が付いている場合があります。これらのカテゴリの意味と顧客に対する潜在的な影響は次のとおりです。

  • 脆弱: 製品に脆弱性が存在します。この脆弱性は、顧客に対するリスクとなります。標準的な配備環境で脆弱性が攻撃されたときの重大度を表す指標として、関連する CVSS スコアを使用する場合もあります。
  • 脆弱でない: 製品に脆弱性はありません。また、攻撃可能な脆弱なコンポーネントはありません。製品の使用によるリスクはありません。
  • 脆弱だが攻撃は不可能: 製品に脆弱性が存在します。おそらく、イメージ内のライブラリまたは実行ファイルが脆弱な状態ですが、製品が適切なセキュリティ対策で管理されているので、脆弱性に対する攻撃は非常に困難です。製品の使用によるリスクはありません。
  • 脆弱だがリスクは低い: 製品に脆弱性が存在します。おそらく、ソフトウェア イメージのライブラリまたは実行ファイルが脆弱な状態ですが、攻撃による影響は重大でなく、攻撃によるメリットはありません。標準的な推奨配備環境で製品を使用している場合、リスクはありません。