セキュリティ運用(脆弱性検知)まわり

脆弱性検知に関わったときに学んだことをまとめます。

1. CVEとは

• 共通脆弱性識別子(CVE)
• 個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子。

管理サイトはここ。

(参考)

2. CVSSとは

• 共通脆弱性評価システム(CVSS)のこと
• 情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会(NIAC)のプロジェクトで2004年10月に原案が作成された。

(参考・上図の出展共に)
共通脆弱性評価システムCVSS v3概説
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html

3. KVEとは

• 米国の政府機関CISA（Cybersecurity＆Infrastructure Security Agency）が公開しているKnown Exploited Vulnerabilities catalogのこと。

• CISAが公開している実際に悪用が確認された脆弱性のリスト

• KEVに登録される条件(and条件)
  条件①：Assigned CVE ID (CVE番号が割り振られていること)
  条件②：Active Exploitation (実際に攻撃が観測されていること/悪用されていること)
  条件③：Clear Remediation Guidance(明確な是正ガイダンスが公開されていること)

(参考)

• KVEの管理サイト

• 管理サイトの歩き方(一例)

  (1) サイトにアクセスする。

![1.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/3003921/6d0af948-a0aa-eb0d-cab6-cb224f26cbbf.png)


(2) 検索条件を入力。ここでは例として「CVE-2023-36025」で検索。
![2.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/3003921/ae906955-ddd5-497c-b5ef-2b40f5054ec5.png)

(3)結果が表示される。該当のものがあればクリック。
![3.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/3003921/9f639999-e1d4-7085-c2a5-4b0805df83b5.png)

(4)NIST(アメリカ国立標準技術研究所)の脆弱性情報データベースに飛んでくれるので、スコアなどを確認する。
![4.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/3003921/51b7c912-0a27-4f3d-a909-1765671b1da7.png)


- NISTとは？　

　Wikipediaによると、
アメリカの技術革新と産業競争力を促進するため、計量学や標準規格、産業技術を進歩させる組織で、暗号技術の選定および標準化を行ったり、開発ガイドラインを作成している。

4. 代表的なマルウェア検知サイト

(1) VirusTotal

• Googleが提供する無料のマルウェア検知サービス。
• 70以上のセキュリティツールを利用して、ファイルやURLのスキャンを行うことができる。
• ファイルのハッシュ値を入力するだけで、そのファイルがマルウェアかどうかを調べることができる。

(2) Jotti's malware scan

• オンラインでマルウェアスキャンを行うことができるサービス。
• 20以上のセキュリティツールを利用して、ファイルのスキャンを行うことができる。

(3) Hybrid Analysis

• マルウェアの解析を行うことができるサービス。
• ファイルのスキャンだけでなく、動的解析によってマルウェアの挙動を分析することができる。