|
|
Microsoft Exploitability Index (悪用可能性指標)公開日: 2008年10月14日 Microsoft Exploitability Index (悪用可能性指標) は、お客様がマイクロソフトのセキュリティ更新プログラム適用の優先順位を決定する手助けとなる詳細情報を提供するためのものです。この指標はお客様にマイクロソフトのセキュリティ更新プログラムで解決する脆弱性に対する悪用コードの潜在的な機能性に関するガイダンスを提供します。 トピック
マイクロソフトが Exploitability Index を開発した理由マイクロソフトのセキュリティ情報および月例のセキュリティ情報の Web キャストでは、セキュリティ情報の公開時にセキュリティ更新プログラムに関連して公開される実証コード、悪用コードまたは積極的な攻撃に関する情報を提供しています。 マイクロソフトは Exploitability Index を作成し、お客様からの要望である、より詳細な評価リスクに関する追加情報を提供いたします。この指標は、セキュリティ更新プログラムの公開後に悪用コードが公開された場合の機能性に関する詳細を提供しているので、お客様が優先度を判断してマイクロソフトのセキュリティ更新プログラムを適用するのに役立てていただけます。 Exploitability Index の内容マイクロソフトはセキュリティ更新プログラムに関連する脆弱性が悪用される攻撃の可能性について評価しています。それを踏まえて、月例のセキュリティ情報のサマリの一部として悪用の情報を公開します。 この悪用に関する情報には、特定の脆弱性に関連のセキュリティ情報の ID、セキュリティ情報のタイトル、CVE ID、そして Exploitability Index の評価および重要な注意事項が含まれています。 例えば、2008 年 4 月に公開したセキュリティ更新プログラムのセキュリティ情報の悪用に関する情報は次のようになります。
Exploitability Index はマイクロソフト セキュリティ情報で解決している脆弱性を基に、3 段階の評価方法で、お客様に悪用コードの実行の可能性をお伝えします。
1 - 安定した悪用コードの可能性 この評価は、マイクロソフトの解析では悪用コードが作成され、攻撃者が安定的に脆弱性を悪用する可能性があることを意味します。例えば、攻撃者は、同じ結果を何度も期待して、安定的にリモートでコードを実行する可能性があります。攻撃者にとっては、興味を引く対象であるため、悪用コードが作成される可能性が高くなります。以上のことから、お客様がセキュリティ情報を確認し、お使いの環境への更新プログラムの適用を判断する場合、より高い優先度となります。 2 - 不安定な悪用コードの可能性 この評価は、マイクロソフトの解析では悪用コードが作成される可能性があるものの、(標的が影響を受ける製品であるとしても) 攻撃者の望むような結果を安定的には得られない事を意味します。例えば、悪用によりリモートでコードが実行される可能性がありますが、その成功の確率は 10 回に 1 回または 100 回に 1 回程度で、標的にされたシステムの状態や悪用コードの質によって決まると考えられます。攻撃者は、深い知識を得て、標的の環境を制御して、攻撃の成功率を高める可能性がありますが、この攻撃の性質は信頼性が低いため、対象としてあまり攻撃者の興味を引くことはないと考えられます。そのため、悪用コードが作成される可能性はあるものの、安定的に悪用可能な他の脆弱性と同じように効果的な攻撃ではありません。お客様がセキュリティ情報を確認し、お使いの環境への更新プログラムの適用を判断する場合、より緊急性の高い別の脆弱性と比較した場合に、こちらを適用する優先度は低くなる可能性があります。 3 - 機能する見込みのない悪用コード この評価は、マイクロソフトの解析では、機能する悪用コードを作成する可能性が低いという意味です。つまり、脆弱性が悪用され、異常な動作を引き起こすコードが公開される可能性はあるものの、脆弱性の影響を完全に悪用して攻撃に成功するような悪用コードが作成される可能性が低いという意味です。攻撃者がこの種類の脆弱性を悪用して攻撃を成功させるには、多くの投資が必要になります。そのため、このような悪用コードの作成によるリスクおよびその使用の可能性は大幅に低くなります。したがって、お客様がセキュリティ情報を確認し、お使いの環境への適用性を判断する場合、他の公開された脆弱性よりもこの更新プログラムの優先度は低くなる可能性があります。 注意事項のセクションこのセクションでは、特定の製品や各オペレーティング システムにより悪用の可能性が異なるかどうかの情報と、特定の脆弱性が悪用される機能性に関して重要な情報を提供します。上記の例では、別のオペレーティング システムよりも Windows 2000 のリスクが高くなります。そのため、お客様がオペレーティングシステムまたは製品のバージョン毎に優先度をつける場合、これを考慮してください。 重要な用語および定義悪用コード - ソフトウェア プログラムまたはサンプル コード。影響を受けるシステムにこれを実行する場合、攻撃者の身元を別の人になりすます、ユーザーまたはシステム情報を改ざんする、攻撃者の動作への関与を否定する、ユーザーまたはシステム情報を漏洩する、ユーザー権限を無効にするためサービス拒否を起こす、または攻撃者が特権を昇格して、脆弱性を悪用します。 機能する悪用コード - 起こりうる脆弱性について、セキュリティ上最大の影響を与える可能性がある悪用コードです。例えば、セキュリティの影響がリモートでコードが実行される脆弱性の場合、機能する実行コードを悪用して、標的のシステムに対してリモードでコードが実行される可能性があります。 安定した悪用 - 影響を受けるシステムを標的にし、悪用コードを信頼して実行するレベルの脆弱性の悪用です。 不安定な悪用 - このレベルの脆弱性の悪用は、影響を受けるシステムを標的にしている悪用コードの実行が、ある特定の状況でのみ可能で、専門性、巧みなタイミングが必要であり、その結果も様々です。 脆弱性を誘発 - 影響を及ぼすコードを作成できるものの、常に最大の影響力を持って悪用することはできません。例えば、リモートでコードが実行される脆弱性を誘発するのは簡単ですが、結果的にはサービス拒否のみで終わるような脆弱性です。 Exploitability Index に関するよく寄せられる質問 (FAQ)質問 : Microsoft Exploitability Index (悪用可能性指標) とは何ですか? 回答 : Microsoft Exploitability Index (悪用可能性指標) は、お客様がマイクロソフトのセキュリティ更新プログラム適用の優先順位を決定する手助けとなる詳細情報を提供するためのものです。この指標は、マイクロソフトのセキュリティ情報で解決している各脆弱性を基に、悪用コード実行の可能性に関するガイダンスをお客様に提供するために作成しました。 質問 : なぜマイクロソフトは Exploitability Index を開発したのですか? 回答 : お客様から、毎月公開しているマイクロソフトのセキュリティ更新プログラムを適用する際の優先順位の決定に役立つ情報、特にセキュリティ情報で解決している脆弱性に対する悪用コード実行の可能性に関する情報提供の要望を受けました。マイクロソフトは Web キャストやお問い合わせを通じて、セキュリティ更新プログラムの公開時に既知の悪用コードまたは攻撃の詳細に関する情報提供のご要望に回答していました。Exploitability Index は、それよりも多くの情報を提供し、どのように脆弱性が悪用される可能性があるのか、セキュリティ情報の公開後、どのような悪用コードが公開される可能性があるのかなどをお知らせします。 質問 : これは本当に信頼できる評価システムですか? 回答 : セキュリティ エコシステムでのアクティビティを予測することは常に困難ですが、このシステムが信頼できるものであることの 3 つの理由があります。 まず、過去数年間、多くのセキュリティ リサーチャーがマイクロソフトのセキュリティ情報が公開された日に防御策を作成し、評価するために、これらのセキュリティ情報に関連する更新プログラムを分析していることを私たちは知っています。このような分析を行うにあたり、リサーチャーの多くもまたこれらの防御策をテストするために悪用コードを作成しています。この悪用コードを開発するために使用されている方法論は、マイクロソフトが悪用コードの公開の可能性を確認するために使用しているものと類似しています。マイクロソフトは更新プログラム自体、脆弱性の本質および悪用が行われるにあたり攻撃者にとって必要となる条件を分析しています。 次に、マイクロソフトのセキュリティ更新プログラムにより解決されるすべての脆弱性について、悪用コードが公開されるわけではありません。実際、公開された悪用コードで機能するものがあった脆弱性は、2006 年および 2007 年のマイクロソフト セキュリティ情報で解決された脆弱性のわずか 30 パーセントでした。悪用コードの公開を確認できる多くの社会的要因がありますが、いくつかの脆弱性における技術的な相違点は悪用をさらに困難にします。たとえば、Windows Vista 上で Address Space layout randomization (ASLR) とデータ実行防止 (DEP) が組み合わされると、悪用がさらに困難になる脆弱性もあります。悪用コードが機能するには、予測可能な状態にあるメモリがコンピューターに存在することが攻撃者にとっての必要条件となる脆弱性もあります。したがって、上記の方法論を使用して各脆弱性を注意深く分析することにより、安定して機能する悪用コードの作成が困難であることについての信頼できる洞察が提供されます。 最後に、私たちは Microsoft Active Protections Program を介し、プロテクション プロバイダーとパートナー関係を結んでおり、協力して各月の私たちの予測を検証しています。これについて、情報の共有により、より良い正確性を確保するための方法としてコミュニティのアプローチを使用しています。 質問 : これは MSRC のセキュリティ情報の深刻度評価システムとどのような点が異なりますか? 回答 : MSRC のセキュリティ情報の深刻度評価システムは、悪用された場合を前提としています。悪用の可能性の高いいくつかの脆弱性については、この前提は攻撃者全般について非常に当てはまると考えられます。悪用の可能性の低いその他の脆弱性については、この前提は執拗な攻撃者が攻撃を成功させるために多くのリソースを費やす場合のみ、当てはまると考えられます。セキュリティ情報の深刻度または Exploitability Index の評価に関わらず、マイクロソフトは常にお客様にすべての適用可能および利用可能な更新プログラムを適用することを推奨しています。しかし、この評価情報は技術的に高度なお客様が各月の更新プログラムの公開に対するアプローチに優先順位を決定することを支援できます。 質問 : Exploitability Index が不正確である場合、どうなりますか? 回答 : 脆弱性の悪用の可能性を評価することは発達している科学で、Exploitability Index に変更をもたらす可能性のある一般に悪用のための新しい技術または脆弱性に特定の一意の技術が確認される場合もあります。しかし、Exploitability Index の目標はお客様が最新の更新プログラムの優先順位を決定することを支援することです。したがって、セキュリティ公開の最初の月に公開された評価を変更する情報があった場合、MSRC は Exploitability Index を更新します。情報が次の月に利用可能となった場合で、それがほとんどのお客様が優先順位を決定した後である場合には、Exploitability Index は更新しません。この理由は、この場合の Exploitability Index はお客様にとって有益ではないためです。 質問 : Exploitability Index は CVSS およびその他の評価システムとどのような関連がありますか? 回答 : Exploitability Index はその他の評価システムとは別のもので、関連はありません。しかし、MSRC は Common Vulnerability Scoring System (CVSS) の補助メンバーで、CVSS が効果的で実用可能であるようにするためワーキング グループと協力して Exploitability Index を作成し、公開するにあたり、マイクロソフトはその経験とお客様からのフィードバックを共有しています。 質問 : Exploitability Index は標的型攻撃に対する警告を行いますか? 回答 : Exploitability Index 自体は攻撃者の攻撃を標的にする方法に対する警告は行いませんが、標的型攻撃でどの脆弱性がより悪用される可能性が高いかについての見解をお客様に提供するにあたり、有益である場合もあるでしょう。たとえば、限定された標的型攻撃で、攻撃者は攻撃が確認される可能性を低くするために、悪用の可能性の高い脆弱性を選択する可能性が高くなります。したがって、標的型攻撃を懸念されるお客様は Exploitability Index を使用して、毎月のリスク評価でこれらの脆弱性についての更新プログラムおよび保護に優先順位を決定することができます。 |