今まであまり気にしたことがなかったけど、脆弱性には番号がつくらしい。そうすると、今回発見されたこの脆弱性は、過去の◯◯番のと同じだよねーとか、あのカテゴリーに入りそうだよねー、とかの話ができる。
当たり前の話といえばそうなんだけど、どうもセキュリティ界隈には似たようなキーワードがたくさんあって混乱するので、脆弱性番号に限らず整理を試みたよ。
CWE (Common Weakness Enumeration)
1999年頃から米国の非営利団体MITREが中心となって策定した共通脆弱性タイプ一覧のこと。脆弱性の種類を体系化してそれぞれに番号を振っている。
わかりやすい図。IPAのページに詳しい。
JVNVU#XXXXXXXX
脆弱性レポートのこと。X部分は数字が入る。オリジナルレポートの出処によって、JVN#XXXXXXとなったり、JVNTA#XXXXXXXXとなったりする。詳しくはこちら。
CVE (Common Vulnerabilities and Exposures)
個別製品中の脆弱性に対して、米国のMITRE社が採番している一位の番号のこと。デファクト。
JVN (Japan Vulnerability Notes)
JPCERT/CCと情報処理推進機構(IPA)が共同で管理している脆弱性情報データベースのこと。
レポートされた個別製品中の脆弱性それぞれに番号がつく。CVEと連携しており、対応が取れるようになっている。中身をみると、複数のCWE番号で示された問題が内在していたりする。
CVSS (Common Vulverability Scoring System)
情報システムの脆弱性に対するオープンで汎用的な評価手法のこと。
詳しくはIPAのこちら。
- (1) 基本評価基準 (Base Metrics)
- (2) 現状評価基準 (Temporal Metrics)
(3) 環境評価基準 (Environmental Metrics)
の3つの数値から基本的にどの程度危ないのか。 (1)
今現在、どの程度危ないのか。 (2)
2次被害含めてどの程度深刻な問題なのか。 (3)
を数値化する。
(1)のCVSS基本値によって深刻度がレベル分けされる。こんな感じ。詳しくはこちら。
| 深刻度 | CVSS基本値 |
|---|---|
| レベル3(危険) | 7.0〜10.0 |
| レベル2(警告) | 4.0〜6.9 |
| レベル1(注意) | 0.0〜3.9 |
こちらにCVSS計算ツールがあるので、触ってみるとイメージがわくと思う。
ちなみに、ちょうど2015/12/1からJVNがCVSS v3表記にも対応するようだ(これまではv2)。
はい。すでに混乱してきましたねー。
具体的な例を挙げてみましょう。
POODLEの例
昨年、賑わった「SSL 3.0 の脆弱性」通称、POODLEについて
POODLEには、CVE番号としてCVE-2014-3566が採番されています。
JVNではJVNVU#98283300として脆弱性レポートが公開され、JVNDB-2014-004670が採番されています。
CWEによる脆弱性タイプはCWE-310 暗号の問題 (本家)に分類されます。関連するCWEとしてCWE-254, CWE-311など10種類挙げられています。
CVSSによる評価は、基本値4.3(警告)です。
各ベンダは 「CVE-2014-3566への対応策」として情報を提供します。
...といった感じです。
おわり。