Preview only show first 10 pages with watermark. For full document please download

講義資料

Rating
Date

October 2018
Size

2.5MB
Views

1,806
Categories

Industrial & lab equipment Electrical equipment & supplies Power conditioning Light switches

Transcript

情報セキュリティ対策の自動化を実現する技術仕様 CVSS v3、STIX、TAXIIの概説独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 2015年7月27日目次共通脆弱性評価システム Common Vulnerability Scoring System 攻撃のモデル化と対処脅威情報構造化記述形式 Structured Threat Information eXpression 検知指標情報自動交換手順 Trusted Automated eXchange of Indicator Information 2015 Information-technology Promotion Agency, Japan 2 共通脆弱性評価システム Common Vulnerability Scoring System 2015 Information-technology Promotion Agency, Japan 3 CVSS v3 概要  開発の背景  2007年にリリースされたCVSS v2は、攻撃対象となるホストにおいての「脆弱性による深刻度」を評価  仮想化やサンドボックス化などが進んできていることから、利用状況の変化を取り込んだ仕様へ  開発スケジュール  2012年 6月開発着手  2013年 5月新しい基本評価項目の導入検討完了  2014年12月 CVSS v3プレビュー第2版  2015年6月10日 CVSS v3リリース 2015 Information-technology Promotion Agency, Japan 4 CVSS v3 特徴     コンポーネント単位で評価する手法の採用攻撃の難易度を評価する項目と、攻撃による影響を評価する項目を分けて評価する手法を採用。攻撃の難易度を評価する項目については、攻撃者がソフトウェアの脆弱性を悪用して攻撃できる対象(以降、コンポーネント)を範囲とする。脆弱性の影響範囲拡大の加味脆弱性の影響範囲拡大を加味するため、スコープという評価項目を導入。脆弱性の影響がコンポーネントに留まる場合、スコープ＝変更なし。影響がコンポーネント以外にも広がる場合、スコープ＝変更あり。基本評価基準の細分化新たに、『必要な特権レベル』、『ユーザ関与レベル』を導入。環境評価基準のアプローチの変更攻撃の難易度を評価する項目、攻撃による影響を評価する項目を実状に合わせて再評価するという評価手法を採用。 2015 Information-technology Promotion Agency, Japan 5 CVSS v3 基本評価基準項目どこから攻撃可能であるか攻撃元区分 (AV: Attack Vector) 攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC: Attack Complexity) 選択肢物理 P ローカル L 隣接NW A ネットワーク N - - 高 H 低 L 高 H 低 L 不要 N - - 要 R 不要 N - - 変更あり C 変更なし U - なし N 低 L 高 H - なし N 低 L 高 H - なし N 低 L 高 H 攻撃する際に必要な特権レベル必要な特権レベル (PR: Privileges Required) 攻撃する際に必要なユーザ関与レベルユーザ関与レベル (UI: User Interaction) 攻撃による影響の想定範囲影響の想定範囲 (S: Scope) 機密情報が漏えいする可能性機密性への影響 (C: Confidentiality Impact) 情報が改ざんされる可能性完全性への影響 (I: Integrity Impact) 業務が遅延・停止する可能性可用性への影響 (A: Availability Impact) 2015 Information-technology Promotion Agency, Japan 6 CVSS v3 基本評価基準：v2とv3との違いについて CVSS v2 攻撃の難易度 CVSS v3 どこから攻撃可能であるかどこから攻撃可能であるか攻撃元区分 (AV: Access Vector) 攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC: Access Complexity) 攻撃するために認証が必要であるか攻撃前認証要否 (Au: Authentication) 攻撃の難易度攻撃元区分 (AV: Attack Vector) 攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC: Attack Complexity) 攻撃する際に必要な特権レベル必要な特権レベル (PR: Privileges Required) 攻撃する際に必要なユーザ関与レベルユーザ関与レベル (UI: User Interaction) 攻撃による影響の想定範囲攻撃による影響機密情報が漏えいする可能性機密性への影響 (C: Confidentiality Impact) 情報が改ざんされる可能性完全性への影響 (I: Integrity Impact) 業務が遅延・停止する可能性可用性への影響 (A: Availability Impact) 2015 Information-technology Promotion Agency, Japan 攻撃による影響影響の想定範囲 (S: Scope) 機密情報が漏えいする可能性機密性への影響 (C: Confidentiality Impact) 情報が改ざんされる可能性完全性への影響 (I: Integrity Impact) 業務が遅延・停止する可能性可用性への影響 (A: Availability Impact) 7 CVSS v3 基本評価基準：v2とv3との違いについて攻撃者脆弱性のあるシステム脆弱性のあるコンポーネント攻撃の難易度を評価 攻撃元区分(AV) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) 攻撃前の認証要否(Au) 脆弱性による影響の広がりを評価 スコープ(S) 攻撃による影響を評価 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) CVSS基本評価値 2015 Information-technology Promotion Agency, Japan 8 CVSS v3 基本評価基準：攻撃の難易度  どこから攻撃可能であるか攻撃元区分 (AV: Attack Vector) 脆弱性のあるコンポーネントをどこから攻撃可能であるかを評価選択肢内容ネットワーク (AV:N) 対象コンポーネントをネットワーク経由でリモートから攻撃可能である。例えば、インターネットからの攻撃など隣接 (AV:A) 対象コンポーネントを隣接ネットワークから攻撃する必要がある。例えば、ローカルIPサブネット、ブルートゥース、IEEE 802.11などローカル (AV:L) 対象コンポーネントをローカル環境から攻撃する必要がある。例えば、ローカルアクセス権限での攻撃が必要、ワープロのアプリケーションに不正なファイルを読み込ませる攻撃が必要など物理 (AV:P) 対象コンポーネントを物理アクセス環境から攻撃する必要がある。例えば、IEEE 1394、USB経由で攻撃が必要など 2015 Information-technology Promotion Agency, Japan 9 CVSS v3 基本評価基準：攻撃の難易度  攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (AC: Attack Complexity) 脆弱性のあるコンポーネントを攻撃する際に必要な条件の複雑さを評価選択肢内容低 (AC:L) 特別な攻撃条件を必要とせず、対象コンポーネントを常に攻撃可能である。高 (AC:H) 攻撃者以外に依存する攻撃条件が存在する。例えば、次のいずれかの条件に合致する場合などが該当する。 攻撃者は、設定情報、シーケンス番号、共有鍵など、攻撃対象の情報収集が事前に必要となる。 攻撃者は、競合が発生する条件、ヒープスプレイを成功させるための条件など、攻撃を成功させるための環境条件を明らかにする必要がある。 攻撃者は、中間者攻撃のため環境が必要となる。 2015 Information-technology Promotion Agency, Japan 10 CVSS v3 基本評価基準：攻撃の難易度  攻撃する際に必要な特権レベル必要な特権レベル (PR: Privileges Required) 脆弱性のあるコンポーネントを攻撃する際に必要な特権のレベルを評価選択肢内容不要 (AC:N) 特別な権限を有する必要はない。低 (AC:L) コンポーネントに対する基本的な権限を有していれば良い。例えば、秘密情報以外にアクセスできるなど高 (AC:H) コンポーネントに対する管理者権限相当を有する必要がある。例えば、秘密情報にアクセスできるなど 2015 Information-technology Promotion Agency, Japan 11 CVSS v3 基本評価基準：攻撃の難易度  攻撃する際に必要なユーザ関与レベルユーザ関与レベル (UI: User Interaction) 脆弱性のあるコンポーネントを攻撃する際に必要なユーザ関与レベルを評価選択肢内容不要 (UI:N) ユーザが何もしなくても脆弱性が攻撃される可能性がある。要 (UI:R) リンクのクリック、ファイル閲覧、設定の変更など、ユーザ動作が必要である。 2015 Information-technology Promotion Agency, Japan 12 CVSS v3 基本評価基準：攻撃による影響  攻撃による影響の想定範囲影響の想定範囲 (S: Scope) 脆弱性のあるコンポーネントへの攻撃による影響範囲を評価選択肢内容変更なし (S:U) 影響範囲が脆弱性のあるコンポーネントの帰属するオーソリゼーションスコープに留まる。変更あり (S:C) 影響範囲が脆弱性のあるコンポーネントの帰属するオーソリゼーションスコープ以外にも広がる可能性がある。例えば、クロスサイトスクリプティング、リフレクター攻撃に悪用される可能性のある脆弱性など 2015 Information-technology Promotion Agency, Japan 13 CVSS v3 基本評価基準：攻撃による影響   攻撃の難易度を評価する項目については、攻撃者がソフトウェアの脆弱性を悪用して攻撃できる対象(コンポーネント)を範囲とする。これを、脆弱想定範囲(Vulnerable Component)と呼ぶ。攻撃による影響を評価する項目については、脆弱性を悪用された場合に及ぶ影響範囲を対象とする。これを、影響想定範囲(Impacted Component)と呼ぶ。スコープ変更なし(S:U) スコープ変更あり(S:C) 脆弱想定範囲脆弱想定範囲 Web アプリ Web アプリ影響想定範囲 2015 Information-technology Promotion Agency, Japan 影響想定範囲 14 CVSS v3 基本評価基準：攻撃による影響  スコープを評価する際には、計算機資源に対する管理権限の範囲(オーソリゼーションスコープ；Authorization Scope)という概念を考慮する必要がある。オーソリゼーションスコープL オーソリゼーションスコープL 脆弱想定範囲脆弱想定範囲オーソリゼーションスコープN 脆弱想定範囲ソフトウェア H ソフトウェアオーソリゼーションスコープL ソフトウェア A X ソフトウェア I ソフトウェア B 影響想定範囲ソフトウェア Y 影響想定範囲オーソリゼーションスコープM スコープ変更なし(S:U) 2015 Information-technology Promotion Agency, Japan 影響想定範囲スコープ変更あり(S:C) 15 CVSS v3 基本評価基準：攻撃による影響  スコープ変更あり(全組合せの平均値：6.00)の場合、スコープ変更なし(全組合せの平均値：4.99)に比べて、評価値が1.2倍高くなる。スコープ変更あり(S:C) スコープ変更なし(S:U) 2015 Information-technology Promotion Agency, Japan 16 CVSS v3 基本評価基準：攻撃による影響  情報漏えいの可能性機密性への影響 (C: Confidentiality Impact) 脆弱性を攻撃された際に、対象とする影響想定範囲の情報が漏えいする可能性を評価選択肢内容高 (C:H) 機密情報や重要なシステムファイルが参照可能であり、その問題による影響が全体に及ぶ。低 (C:L) 情報漏えいやアクセス制限の回避などが発生はするが、その問題による影響が限定的である。なし (C:N) 機密性への影響はない 2015 Information-technology Promotion Agency, Japan 17 CVSS v3 基本評価基準：攻撃による影響  情報改ざんの可能性完全性への影響 (I: Integrity Impact) 脆弱性を攻撃された際に、対象とする影響想定範囲の情報が改ざんされる可能性を評価選択肢内容高 (I:H) 機密情報や重要なシステムファイルの改ざんが可能で、その問題による影響が全体に及ぶ。低 (I:L) 情報の改ざんが可能ではあるが、機密情報や重要なシステムファイルの改ざんはできないために、その問題による影響が限定的である。なし (I:N) 完全性への影響はない 2015 Information-technology Promotion Agency, Japan 18 CVSS v3 基本評価基準：攻撃による影響  業務停止の可能性可用性への影響 (A: Availability Impact) 脆弱性を攻撃された際に、対象とする影響想定範囲の業務が遅延・停止する可能性を評価選択肢内容高 (A:H) リソース(ネットワーク帯域、プロセッサ処理、ディスクスペースなど)を完全に枯渇させたり、完全に停止させることが可能である。低 (A:L) リソースを一時的に枯渇させたり、業務の遅延や一時中断が可能である。なし (A:N) 可用性への影響はない 2015 Information-technology Promotion Agency, Japan 19 CVSS v3 現状評価基準項目攻撃手法が実際に利用可能であるか攻撃可能性 (E: Exploit Code Maturity) 対策がどの程度利用可能であるか利用可能な対策のレベル (RL: Remediation Level) 脆弱性情報の信頼性は脆弱性情報の信頼性 (RC: Report Confidence) 2015 Information-technology Promotion Agency, Japan 選択肢未実証 U 実証可 P 攻撃可 F 高 H 未評価 X 正式 O 暫定 T 非公式 W なし U 未評価 X - 未確認 U 未確証 R 確認済 C 未評価 X 20 CVSS v3 現状評価基準：v2とv3との違いについて CVSS v2 CVSS v3 攻撃手法が実際に利用可能であるか攻撃手法が実際に利用可能であるか攻撃可能性 (E: Exploitability) 攻撃可能性 (E: Exploitability) 対策がどの程度利用可能であるか対策がどの程度利用可能であるか利用可能な対策のレベル (RL: Remediation Level) 利用可能な対策のレベル (RL: Remediation Level) 脆弱性情報の信頼性は脆弱性情報の信頼性は脆弱性情報の信頼性 (RC: Report Confidence) 脆弱性情報の信頼性 (RC: Report Confidence) 2015 Information-technology Promotion Agency, Japan 21 CVSS v3 現状評価基準：v2とv3との違いについて脆弱性のあるシステム脆弱性のあるコンポーネント攻撃者脆弱性を取り巻く状況を評価 攻撃される可能性(E) 利用可能な対策のレベル(RL) 脆弱性情報の信頼性(RC) 攻撃の難易度を評価 攻撃元区分(AV) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) 攻撃前の認証要否(Au) 脆弱性による影響の広がりを評価 スコープ(S) 攻撃による影響を評価 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) CVSS基本評価値 CVSS現状評価値 2015 Information-technology Promotion Agency, Japan 22 CVSS v3 現状評価基準  攻撃手法が実際に利用可能であるか攻撃可能性 (E: Exploit Code Maturity) 攻撃コードや攻撃手法が実際に利用可能であるかを評価選択肢内容未評価 (E:X) この項目を評価しない。容易に攻撃可能 (E:H) 攻撃コードがいかなる状況でも利用可能である。攻撃コードを必要とせず、攻撃可能である。攻撃可能 (E:F) 攻撃コードが存在し、ほとんどの状況で使用可能である。実証可能 (E:P) 実証コードが存在している。完成度の低い攻撃コードが存在している。未実証 (E:U) 実証コードや攻撃コードが利用可能でない。攻撃手法が理論上のみで存在している。 2015 Information-technology Promotion Agency, Japan 23 CVSS v3 現状評価基準  対策がどの程度利用可能であるか利用可能な対策のレベル (RL: Remediation Level) 脆弱性の対策がどの程度利用可能であるかを評価選択肢内容未評価 (RL:X) この項目を評価しない。なし (RL:U) 利用可能な対策がない。対策を適用できない。非公式 (RL:W) 製品開発者以外からの非公式な対策が利用可能である。暫定 (RL:T) 製品開発者からの暫定対策が利用可能である。正式 (RL:O) 製品開発者からの正式対策が利用可能である。 2015 Information-technology Promotion Agency, Japan 24 CVSS v3 現状評価基準  脆弱性情報の信頼性は脆弱性情報の信頼性 (RC: Report Confidence) 脆弱性に関する情報の信頼性を評価選択肢内容未評価 (RC:X) この項目を評価しない確認済 (RC:C) 製品開発者が脆弱性情報を確認している。ソースコードレベルで脆弱性の存在を確認されている。脆弱性情報が実証コードや攻撃コードなどにより広範囲に確認されている。未確証 (RC:R) セキュリティベンダーや調査団体から、複数の非公式情報が存在している。ソースコードレベルで脆弱性の存在が確認できていない。脆弱性の原因や検証が十分ではない。未確認 (RC:U) 未確認の情報のみ存在している。いくつかの相反する情報が存在している。 2015 Information-technology Promotion Agency, Japan 25 CVSS v3 環境評価基準項目システムにおける機密性の重要度機密性の要求度 (CR: Confidentiality Requirement) システムにおける完全性の重要度完全性の要求度 (IR: Integrity Requirement) システムにおける可用性の重要度可用性の要求度 (AR: Availability Impact) 2015 Information-technology Promotion Agency, Japan 選択肢低 L 中 M 高 H 未評価 X 低 L 中 M 高 H 未評価 X 低 L 中 M 高 H 未評価 X 26 CVSS v3 環境評価基準項目どこから攻撃可能であるか攻撃元区分 (MAV: Modified Attack Vector) 攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ (MAC: Modified Attack Complexity) 攻撃する際に必要な特権レベル必要な特権レベル(MPR: Modified Privileges Required) 攻撃する際に必要なユーザ関与レベルユーザ関与レベル (MUI: Modified User Interaction) 攻撃による影響の想定範囲影響の想定範囲 (MS: Modified Scope) 機密情報が漏えいする可能性機密性への影響(MC: Modified Confidentiality Impact) 情報が改ざんされる可能性完全性への影響 (MI: Modified Integrity Impact) 業務が遅延・停止する可能性可用性への影響 (MA: Modified Availability Impact) 2015 Information-technology Promotion Agency, Japan 選択肢物理 P ローカル L 隣接NW A ネットワーク N 未評価 X - - 高 H 低 L 未評価 X - 高 H 低 L 不要 N 未評価 X - - 要 R 不要 N 未評価 X - - 変更なし U 変更 C 未評価 X - なし N 低 L 高 H 未評価 X - なし N 低 L 高 H 未評価 X - なし N 低 L 高 H 未評価 X 27 CVSS v3 環境評価基準：v2とv3との違いについて CVSS v2 CVSS v3 どこから攻撃可能であるかシステムからの二次的被害の可能性二次的被害 (CDP: Collateral Damage Potential) 攻撃元区分 (MAV: Modified Attack Vector) システムの影響範囲攻撃する際に必要な条件の複雑さシステム範囲 (TD: Target Distribution) システムにおける機密性の重要度機密性の要求度 (CR: Confidentiality Requirement) システムにおける完全性の重要度完全性の要求度 (IR: Integrity Requirement) システムにおける可用性の重要度可用性の要求度 (AR: Availability Impact) 攻撃条件の複雑さ (MAC: Modified Attack Complexity) 緩和策後の再評価攻撃する際に必要な特権レベル必要な特権レベル (MPR: Modified Privileges Required) 攻撃する際に必要なユーザ関与レベルユーザ関与レベル (MUI: Modified User Interaction) 攻撃による影響の想定範囲影響の想定範囲 (MS: Modified Scope) 機密情報が漏えいする可能性機密性への影響 (MC: Modified Confidentiality Impact) 情報が改ざんされる可能性完全性への影響 (MI: Modified Integrity Impact) 業務が遅延・停止する可能性可用性への影響 (MA: Modified Availability Impact) システムにおける機密性の重要度機密性の要求度 (CR: Confidentiality Requirement) システムにおける完全性の重要度完全性の要求度 (IR: Integrity Requirement) システムにおける可用性の重要度 2015 Information-technology Promotion Agency, Japan 可用性の要求度 (AR: Availability Impact) 28 CVSS v3 環境評価基準：v2とv3との違いについて脆弱性のあるシステム脆弱性のあるコンポーネント攻撃者脆弱性を取り巻く状況を評価 攻撃される可能性(E) 利用可能な対策のレベル(RL) 脆弱性情報の信頼性(RC) 攻撃の難易度を再評価 攻撃元区分(MAV) 攻撃条件の複雑さ(MAC) 必要な特権レベル(MPR) ユーザ関与レベル(MUI) 脆弱性による影響の広がりを評価 スコープ(S) 攻撃による影響を再評価 機密性への影響(MC) 完全性への影響(MI) 可用性への影響(MA) セキュリティ要求度 機密性の要求度(CR) 完全性の要求度(IR) 可用性の要求度(AR) システムへの影響を評価 二次的被害の可能性(CD) 影響を受ける対象システムの範囲(TD) 2015 Information-technology Promotion Agency, Japan CVSS環境評価値 29 CVSS v3 環境評価基準  システムにおける機密性/完全性/可用性の重要度対象システムのセキュリティ要求度 (CR, IR, AR: Security Requirements) 要求されるセキュリティ特性に関して、その該当項目を重視する場合、その該当項目を高く評価選択肢内容未評価 (CR:X)/(IR:X)/(AR:X) この項目を評価しない高 (CR:H)/(IR:H)/(AR:H) 対象システムの該当項目を失われると、壊滅的な影響がある中 (CR:M)/(IR:M)/(AR:M) 対象システムの該当項目を失われると、深刻な影響がある低 (CR:L)/(IR:L)/(AR:L) 対象システムの該当項目を失われても、一部の影響にとどまる 2015 Information-technology Promotion Agency, Japan 30 CVSS v3 環境評価基準  環境条件を加味した基本評価の再評価 (Modified Base Metrics) 攻撃の難易度を評価する項目、攻撃による影響を評価する項目を実状に合わせて再評価選択肢内容緩和策後の攻撃元区分 (MAV: Modified Attack Vector) 脆弱性のあるコンポーネントをどこから攻撃可能であるかを再評価  未評価(MAV:X)、ネットワーク(MAV:N)、隣接(MAV:A)、ローカル(MAV:L)、物理(MAV:P) 緩和策後の攻撃条件の複雑さ (MAC: Modified Attack Complexity) 脆弱性のあるコンポーネントを攻撃する際に必要な条件の複雑さを再評価  未評価(MAC:X)、低(MAC:L)、高(MAC:H) 緩和策後の必要な特権レベル (MPR: Modified Privileges Required) 脆弱性のあるコンポーネントを攻撃する際に必要な特権のレベルを再評価  未評価(MPR:X)、不要(MPR:N)、低(MPR:L)、高(MPR:H) 緩和策後のユーザ関与レベル (MUI: Modified User Interaction) 脆弱性のあるコンポーネントを攻撃する際に必要なユーザ関与レベルを再評価  未評価(MUI:X)、不要(MUI:N)、要(MUI:R) 2015 Information-technology Promotion Agency, Japan 31 CVSS v3 環境評価基準  環境条件を加味した基本評価の再評価 (Modified Base Metrics) 攻撃の難易度を評価する項目、攻撃による影響を評価する項目を実状に合わせて再評価選択肢内容緩和策後のスコープ (MS: Modified Scope) 脆弱性のあるコンポーネントへの攻撃による影響範囲を再評価  未評価(MS:X)、変更なし(MS:U)、変更(MS:C) 緩和策後の機密性への影響 (MC: Modified Confidentiality Impact) 脆弱性を攻撃された際に、対象とする影響想定範囲の情報が漏えいする可能性を再評価  未評価(MC:X)、高(MC:H)、低(MC:L)、なし(MC:N) 緩和策後の完全性への影響 (MI: Modified Integrity Impact) 脆弱性を攻撃された際に、対象とする影響想定範囲の情報が改ざんされる可能性を再評価  未評価(MI:X)、高(MI:H)、低(MI:L)、なし(MI:N) 緩和策後の可用性への影響脆弱性を攻撃された際に、対象とする影響想定範囲の (MA: Modified Availability Impact) 業務が遅延・停止する可能性を再評価  未評価(MA:X)、高(MA:H)、低(MA:L)、なし(MA:N) 2015 Information-technology Promotion Agency, Japan 32 CVSS v3 深刻度  脆弱性の技術的な特性を評価する基準(基本評価基準: Base Metrics)、ある時点における脆弱性を取り巻く状況を評価する基準(現状評価基準: Temporal Metrics)、利用者環境における問題の大きさを評価する基準 (環境評価基準: Environmental Metrics)を順番に評価していくことで、脆弱性の深刻度を0(低)～10.0(高)の数値化  深刻度レベル分け CVSS v3での深刻度レベル分けは5段階深刻度スコア緊急 9.0～10.0 重要 7.0～8.9 警告 4.0～6.9 注意 0.1～3.9 なし 0 2015 Information-technology Promotion Agency, Japan 33 CVSS v3 深刻度：基本値 (1)影響度調整前影響度 = 1 - (1 - C)×(1 - I)×(1 - A) …式(1) 影響度(S:U)= 6.42×調整前影響度 …式(2) 影響度(S:C)= 7.52×(調整前影響度 - 0.029) - 3.25×(調整前影響度 - 0.02)15 …式(3) (2)攻撃容易性攻撃容易性 = 8.22×AV×AC×PR×UI …式(4) (3)基本値影響度がゼロ以下の場合基本値 = 0 …式(5) 影響度がゼロよりも大きい場合スコープ変更なし(S:U) 基本値 = RoundUp1(min [(影響度＋攻撃容易性), 10]) …式(6) (小数点第1位切り上げ) スコープ変更あり(S:C) 基本値 = RoundUp1(min [(1.08×(影響度＋攻撃容易性)), 10]) …式(7) (小数点第1位切り上げ) 2015 Information-technology Promotion Agency, Japan 34 CVSS v3 深刻度：基本値評価項目攻撃元区分(AV) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) 2015 Information-technology Promotion Agency, Japan 評価結果ネットワーク(N) 隣接(A) ローカル(L) 物理(P) 低(L) 高(H) 不要(N) 低(L) 高(H) 不要(N) 要(R) 変更なし(U) 変更あり(C) 高(H) 低(L) なし(N) 高(H) 低(L) なし(N) 高(H) 低(L) なし(N) 値 0.85 0.62 0.55 0.20 0.77 0.44 0.85 0.62 0.27 0.85 0.62 －－ 0.56 0.22 0 0.56 0.22 0 0.56 0.22 0 スコープ変更あり 0.68 0.50 35 CVSS v3 深刻度：現状値 (1)現状値現状値 = RoundUp1(基本値×E×RL×RC) …式(8) (小数点第1位切り上げ) 評価項目攻撃される可能性(E) 利用可能な対策のレベル(RL) 脆弱性情報の信頼性(RC) 2015 Information-technology Promotion Agency, Japan 評価結果未評価(X) 容易に攻撃可能(H) 攻撃可能(F) 実証可能(P) 未実証(U) 未評価(X) なし(U) 非公式(W) 暫定(T) 正式(O) 未評価(X) 確認済(C) 未確証(R) 未確認(U) 値 1.00 1.00 0.97 0.94 0.91 1.00 1.00 0.97 0.96 0.95 1.00 1.00 0.96 0.92 36 CVSS v3 深刻度：環境値 (1)緩和策後影響度緩和策後調整前影響度 = min [(1 -(1 - MC×CR)×(1 - MI×IR)×(1 - MA×AR)), 0.915] …式(9) 緩和策後影響度(S:U)= 6.42×緩和策後調整前影響度 …式(10) 緩和策後影響度(S:C) = 7.52×(緩和策後調整前影響度 - 0.029) - 3.25×(緩和策後調整前影響度 - 0.02)15 …式(11) (2)緩和策後攻撃容易性緩和策後攻撃容易性 = 8.22×MAV×MAC×MPR×MUI …式(12) (3)環境値緩和策後影響度がゼロ以下の場合環境値 = 0 …式(13) 緩和策後影響度がゼロよりも大きい場合スコープ変更なし(S:U) 環境値= RoundUp1(min [((緩和策後影響度＋緩和策後攻撃容易性) ×E×RL×RC), 10]) …式(14) (小数点第1位切り上げ) スコープ変更あり(S:C) 環境値 = RoundUp1(min [(1.08×(緩和策後影響度＋緩和策後攻撃容易性) ×E×RL×RC), 10]) …式(15) (小数点第1位切り上げ) 2015 Information-technology Promotion Agency, Japan 37 CVSS v3 深刻度：環境値評価項目対象システムのセキュリティ要求度 (CR、IR、AR) 緩和策後の攻撃元区分(MAV) 緩和策後の攻撃条件の複雑さ(MAC) 緩和策後の必要な特権レベル(MPR) 緩和策後のユーザ関与レベル(MUI) 緩和策後のスコープ(MS) 緩和策後の機密性への影響(MC) 緩和策後の完全性への影響(MI) 緩和策後の可用性への影響(MA) 2015 Information-technology Promotion Agency, Japan 評価結果未評価(X) 高(H) 中(M) 低(L) 値 1.0 1.5 1.0 0.5 評価結果に対応する値は、基本評価基準と同一。なお、未評価を選択した場合には、基本評価基準での評価結果を参照する。例: 攻撃元区分(AV)＝ネットワーク(N)、緩和策後の攻撃元区分(MAV)＝未評価(X)を選択した場合、環境値は、緩和策後の攻撃元区分(MAV)＝ネットワーク(N)として算出。 38 CVSS v3 CVE-2013-1937(JVNDB-2013-002247) [タイトル] phpMyAdminのtbl_gis_visualization.phpにおけるクロスサイトスクリプティングの脆弱性 [概要] phpMyAdminのtbl_gis_visualization.phpには、クロスサイトスクリプティングの脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 6.1 ネットワーク低不要要変更あり低低なし 2015 Information-technology Promotion Agency, Japan v2 4.3 ネットワーク中不要なし部分的なし備考ユーザ操作要ブラウザに影響ありブラウザから情報漏えいの可能性あり 39 CVSS v3 CVE-2013-0375(JVNDB-2013-001148) [タイトル] Oracle MySQLのMySQL ServerにおけるServer Replicationの処理に関する脆弱性 [概要] Oracle MySQLのMySQL Serverには、Server Replicationに関する処理に不備があるため、機密性および完全性に影響のある脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 6.4 ネットワーク低低不要変更あり低低なし 2015 Information-technology Promotion Agency, Japan v2 5.5 ネットワーク低単一備考一般ユーザ権限要リモートのMySQLサーバに影響あり部分的部分的なし 40 CVSS v3 CVE-2014-3566(JVNDB-2014-004670) [タイトル] OpenSSLおよびその他の製品で使用されるSSLプロトコルにおける平文データを取得される脆弱性 [概要] OpenSSLおよびその他の製品で使用されるSSLプロトコルは、非決定的なCBCパディングを使用するため、平文データを取得される脆弱性が存在します。本脆弱性は、"POODLE"と呼ばれています。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 3.1 ネットワーク高不要要変更なし低なしなし 2015 Information-technology Promotion Agency, Japan v2 4.3 ネットワーク中不要備考中間者攻撃による攻撃ユーザ操作要影響想定範囲がホストに留まる部分的なしなし 41 CVSS v3 CVE-2012-1516(JVNDB-2012-002240) [タイトル] VMware ESXiおよびESXのVMXプロセスにおけるサービス運用妨害(DoS)の脆弱性 [概要] VMware ESXiおよびESXのVMXプロセスは、RPCコマンドを適切に処理しないため、サービス運用妨害 (メモリの上書きおよびプロセスクラッシュ)状態となる、またはホストOS上の任意のコードを実行される脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 9.9 ネットワーク低低不要変更あり高高高 2015 Information-technology Promotion Agency, Japan v2 9.0 ネットワーク低単一備考ホストOSに影響あり全面的全面的全面的 42 CVSS v3 CVE-2009-0783(JVNDB-2009-001737) [タイトル] Apache TomcatにおけるWebアプリケーションに関連するファイルを読まれる脆弱性 [概要] Apache Tomcatには、Webアプリケーションが他のWebアプリケーションに対するXMLパーサを置き換えることを許可するため、任意のWebアプリケーションのweb.xml、context.xml、tldファイルを読まれる、または改ざんされる脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 4.2 ローカル低高不要変更なし低低低 2015 Information-technology Promotion Agency, Japan v2 4.6 ローカル低不要備考 Tomcat設定ファイルの変更権限要影響想定範囲がホストに留まる部分的部分的部分的 XMLパーサの置き換えにより稼動に影響する可能性あり 43 CVSS v3 CVE-2012-0384(JVNDB-2012-001958) [タイトル] Cisco IOSおよびIOS XEにおけるアクセス制限を回避される脆弱性 [概要] Cisco IOSおよびIOS XEには、AAAが有効であるとき、アクセス制限を回避される、または任意のコマンドを実行される脆弱性が存在します。本問題は、Bug ID CSCtr91106の問題です。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 8.8 ネットワーク低低不要変更なし高高高 2015 Information-technology Promotion Agency, Japan v2 8.5 ネットワーク中単一備考管理者権限は不要影響想定範囲が機器に留まる全面的全面的全面的 44 CVSS v3 CVE-2015-1098(JVNDB-2015-002134) [タイトル] Apple iOSおよびApple OS XのiWorkにおける任意のコードを実行される脆弱性 [概要] Apple iOSおよびApple OS XのiWorkには、任意のコードを実行される、またはサービス運用妨害(メモリ破損)状態にされる脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 7.8 ローカル低不要要変更なし高高高 2015 Information-technology Promotion Agency, Japan v2 6.8 ネットワーク中不要部分的部分的部分的備考不正なファイルを開くなどの攻撃不正なファイルを開くなどの操作要影響想定範囲がホストに留まる任意のコード実行が可能同上同上 45 CVSS v3 CVE-2014-0160(JVNDB-2014-001920) [タイトル] OpenSSLのheartbeat拡張に情報漏えいの脆弱性 [概要] OpenSSLのheartbeat拡張の実装には、情報漏えいの脆弱性が存在します。TLSやDTLS通信において OpenSSLのコードを実行しているプロセスのメモリ内容が通信相手に漏えいする可能性があります。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 7.5 ネットワーク低不要不要変更なし高なしなし 2015 Information-technology Promotion Agency, Japan v2 5.0 ネットワーク低不要部分的なしなし備考影響想定範囲がホストに留まる機密情報の漏えいの可能性あり 46 CVSS v3 CVE-2014-6271(JVNDB-2014-004410) [タイトル] GNU bashにおける任意のコードを実行される脆弱性 [概要] GNU bashは、環境変数の値の関数定義の後で末尾の文字列を処理するため、任意のコードを実行される脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 9.8 ネットワーク低不要不要変更なし高高高 2015 Information-technology Promotion Agency, Japan v2 10.0 ネットワーク低不要備考影響想定範囲がホストに留まる全面的全面的全面的 47 CVSS v3 CVE-2008-1447(JVNDB-2008-001495) [タイトル] 複数のDNS実装にキャッシュポイズニングの脆弱性 [概要] 複数のDNS実装にキャッシュポイズニング攻撃が容易になる脆弱性があります。最近の研究で、いままでに知られているよりも効率的にキャッシュポイズニングを行う手法が見つかっています。DNSキャッシュサーバが対象になるとともに、PCなども攻撃対象になる可能性があることに注意してください。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 6.8 ネットワーク高不要不要変更ありなし高なし 2015 Information-technology Promotion Agency, Japan v2 5.0 ネットワーク低不要備考 DNSクライアントにも影響ありなし部分的なし 48 CVSS v3 CVE-2014-2005(JVNDB-2014-000061) [タイトル] Sophos Disk Encryptionにおける認証不備の脆弱性 [概要] ソフォス株式会社が提供するSophos Disk Encryptionには、認証不備の脆弱性が存在します。ソフォス株式会社が提供するSophos Disk Encryptionは、ハードディスク上のデータを暗号化するための製品です。Windowsの初期設定では、コンピュータがスリープ、休止状態から復帰する際にログオン認証を求められますが、当該製品がインストールされたコンピュータでは、ログオン認証が行われずに操作が可能となります。 v3 v2 評価項目備考 6.8 6.9 基本値攻撃元区分(AV) 物理ローカル攻撃条件の複雑さ(AC) 中攻撃前の認証要否(Au) 不要攻撃条件の複雑さ(AC) 低必要な特権レベル(PR) 不要ユーザ関与レベル(UI) 不要スコープ(S) 変更なし影響想定範囲がホストに留まる機密性への影響(C) 高全面的完全性への影響(I) 高全面的システムへのフルアクセスが可能可用性への影響(A) 高全面的システムへのフルアクセスが可能 2015 Information-technology Promotion Agency, Japan 49 CVSS v3 CVE-2010-0467(JVNDB-2010-003815) [タイトル] Joomla!のccNewsletterコンポーネントにおけるディレクトリトラバーサルの脆弱性 [概要] Joomla!のccNewsletter(com_ccnewsletter)コンポーネントには、ディレクトリトラバーサルの脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) v3 5.8 ネットワーク機密性への影響(C) 完全性への影響(I) 可用性への影響(A) 低なしなし v2 5.0 ネットワーク低不要低不要不要変更あり 2015 Information-technology Promotion Agency, Japan 備考 Joomla!自身が管理権限の範囲を制御していると判断部分的なしなし 50 CVSS v3 CVE-2012-1342(JVNDB-2011-005108) [タイトル] Cisco Carrier Routing Systemにおけるアクセス制御リストのエントリを回避される脆弱性 [概要] Cisco Carrier Routing System (CRS)には、アクセス制御リスト(ACL)のエントリを回避される脆弱性が存在します。本問題は、Bug ID CSCtj10975の問題です。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) v3 5.8 ネットワーク機密性への影響(C) 完全性への影響(I) 可用性への影響(A) なし低なし v2 5.0 ネットワーク低不要低不要不要変更あり 2015 Information-technology Promotion Agency, Japan 備考脆弱想定範囲＝装置自身、影響想定範囲＝装置が接続するネットワークなし部分的なし 51 CVSS v3 CVE-2013-6014(JVNDB-2013-004939) [タイトル] Juniper JunosにおけるARPポイズニング攻撃を実行される脆弱性 [概要] Juniper Junosには、アンナンバードインターフェース上でProxy ARPが有効になっている場合、ARPポイズニング攻撃を実行される、および重要な情報を取得される脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) v3 9.3 隣接機密性への影響(C) 完全性への影響(I) 可用性への影響(A) 高なし高 v2 6.1 隣接低不要低不要不要変更あり 2015 Information-technology Promotion Agency, Japan なし全面的なし備考 ARPポイズニング攻撃 APRパケット詐称の難易度は低い脆弱想定範囲＝装置自身、影響想定範囲＝装置が接続するネットワークトラフィックの盗聴が可能影響想定範囲には影響なしサービス運用妨害が可能 52 CVSS v3 CVE-2014-9253(JVNDB-2014-007296) [タイトル] DokuWikiのMedia Managerにおける任意のWebスクリプトまたはHTMLを実行される脆弱性 [概要] DokuWikiのMedia Managerのconf/mime.confのデフォルトファイルタイプのホワイトリストの設定には、任意のWebスクリプトまたはHTMLを実行される脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 5.4 ネットワーク低低要変更あり低低なし 2015 Information-technology Promotion Agency, Japan v2 4.3 ネットワーク中不要なし部分的なし備考ブラウザに影響ありブラウザから情報漏えいの可能性あり 53 CVSS v3 CVE-2009-0658(JVNDB-2009-001093) [タイトル] Adobe ReaderおよびAcrobatにおけるバッファオーバーフローの脆弱性 [概要] Adobe ReaderおよびAcrobatには、PDFドキュメントの処理に不備があるため、バッファオーバーフローの脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 7.8 ローカル低不要要変更なし高高高 2015 Information-technology Promotion Agency, Japan v2 9.3 ネットワーク中不要備考不正なファイルを開くなどの攻撃不正なファイルを開くなどの操作要影響想定範囲がホストに留まる全面的全面的全面的 54 CVSS v3 CVE-2011-1265(JVNDB-2011-001899) [タイトル] Microsoft Windows VistaおよびWindows 7のBluetooth Stackにおける任意のコードを実行される脆弱性 [概要] Microsoft Windows VistaおよびWindows 7のBluetooth Stackは、(1)適切に初期化されなかった、または(2)既に削除されているメモリ内のオブジェクトへのアクセスを防止しないため、任意のコードを実行される脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 8.8 隣接低不要不要変更なし高高高 2015 Information-technology Promotion Agency, Japan v2 8.3 隣接低不要備考ブルートゥース経由影響想定範囲がホストに留まる全面的全面的全面的 55 CVSS v3 CVE-2014-2019(JVNDB-2014-001429) [タイトル] Apple iOSのiCloudサブシステムにおけるパスワード要求を回避される脆弱性 [概要] Apple iOSのiCloudサブシステムには、パスワード要求を回避され、『iPhoneを探す(Find My iPhone)』サービスをオフにされる、または『アカウントを削除(Delete Account)』アクションを完了され、その後、このサービスを異なるApple IDに関連付られる脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 4.6 物理低不要不要変更なしなし高なし 2015 Information-technology Promotion Agency, Japan v2 4.9 ローカル低不要備考攻撃にあたり物理的な機器が必要脆弱想定範囲＝影響想定範囲なし全面的なし 56 CVSS v3 CVE-2015-0970(JVNDB-2015-002412) [タイトル] SearchBloxにおけるクロスサイトリクエストフォージェリの脆弱性 [概要] SearchBloxには、クロスサイトリクエストフォージェリの脆弱性が存在します。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) v3 8.8 ネットワーク低不要要変更なし高部分的完全性への影響(I) 可用性への影響(A) 高高部分的部分的 2015 Information-technology Promotion Agency, Japan v2 6.8 ネットワーク中不要備考脆弱想定範囲＝影響想定範囲 SearchBloxの機密情報漏えいの可能性あり SearchBloxの設定変更の可能性あり SearchBloxの設定変更に伴う稼動停止の可能性あり 57 CVSS v3 CVE-2014-0224(JVNDB-2014-000048) [タイトル] OpenSSLにおけるChange Cipher Specメッセージの処理に脆弱性 [概要] OpenSSLには、Change Cipher Specプロトコルの実装に問題があり、鍵情報の交換の前にChange Cipher Specメッセージを受け取ると、空の鍵情報を使って暗号化鍵を生成してしまいます(CWE-325)。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) 機密性への影響(C) 完全性への影響(I) 可用性への影響(A) v3 7.4 ネットワーク高不要不要変更なし高高なし 2015 Information-technology Promotion Agency, Japan v2 6.8 ネットワーク中不要備考中間者攻撃による攻撃部分的部分的部分的 SSL/TLS通信の解読の可能性あり SSL/TLS通信の改ざんの可能性あり 58 CVSS v3 CVE-2012-5376(JVNDB-2012-004919) [タイトル] Google Chromeのプロセス間通信の実装におけるサンドボックスの制限を回避される脆弱性 [概要] Google Chromeのプロセス間通信(IPC)の実装には、サンドボックスの制限を回避され、任意のファイルに書き込まれる脆弱性が存在します。本脆弱性は、CVE-2012-5112とは異なる脆弱性です。評価項目基本値攻撃元区分(AV) 攻撃条件の複雑さ(AC) 攻撃前の認証要否(Au) 攻撃条件の複雑さ(AC) 必要な特権レベル(PR) ユーザ関与レベル(UI) スコープ(S) v3 9.6 ネットワーク機密性への影響(C) 完全性への影響(I) 可用性への影響(A) 高高高 v2 10.0 ネットワーク低不要低不要要変更あり 2015 Information-technology Promotion Agency, Japan 備考サンドボックス制限の回避によりホスト OSに影響あり全面的全面的全面的 59 攻撃のモデル化と対処 2015 Information-technology Promotion Agency, Japan 60 攻撃のモデル化と対処標的型攻撃  【事例】 A社のコンピュータが、情報を窃取するタイプのウイルスに感染していた(①～③)。さらに、窃取されたメールにウイルスが仕込まれ、関連企業に対する標的型攻撃メールに転用された(④)。 ①ウイルスメール送付 ②遠隔ツールインストール ③メールの窃取侵害活動の成果が次の標的型攻撃に利用される関連企業 ④窃取メールを用いたウイルスメール A社 2015 Information-technology Promotion Agency, Japan 61 攻撃のモデル化と対処【モデル】 Intrusion Kill Chain(Cyber Kill Chain)  Lockheed Martin： Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (ICIW2011) レポート(2011年3月)  【定義】 "Advanced Persistent Threat" (APT), represents well-resourced and trained adversaries that conduct multi-year intrusion campaigns targeting highly sensitive economic, proprietary, or national security information.  【モデル】 ① Reconnaissance(偵察) ② Weaponization(武器化) ③ Delivery(配送) ④ Exploitation(攻撃) ⑤ Installation(インストール) ⑥ Command and Control(C2)(遠隔制御) ⑦ Actions on Objectives (実行) 2015 Information-technology Promotion Agency, Japan 62 攻撃のモデル化と対処 Cyber Kill Chain モデルでの分析  初期段階での分析ならびに検知へ(入口対策の強化)  観測事象(Observable；攻撃によって観測された事象)、検知指標(Indicator；攻撃を検知するために使用できる事象)の活用偵察偵察  武器化配送分析検知武器化配送攻撃分析検知今までインストール遠隔制御実行これから攻撃インストール遠隔制御実行攻撃活動分析(Campaign Analysis)  攻撃者のパタン、行動、TTP( Tactics, Techniques and Procedures：戦術、技術及び手順)を明らかにする。  攻撃者の意図を明らかにする。 2015 Information-technology Promotion Agency, Japan 63 攻撃のモデル化と対処検知指標(Indicator)を用いた侵害行動の分析  攻撃活動における基点となる検知指標(観測事象の中からサイバー攻撃を検知するために使用できる事象)の分析偵察武器化 Target A Target B Target C 難読化手法配送攻撃インストール遠隔制御実行 X-Mailer Shell コードのハッシュ値一意のファイル名 C2 プロトコル目的遂行ツールのハッシュ値攻撃 A 攻撃 B 2015 Information-technology Promotion Agency, Japan 64 攻撃のモデル化と対処 Standardized Threat Representation 交換攻撃活動分析(Campaign Analysis) ダウンロードサーバ C&Cサーバ観測事象 (Observable；攻撃によって観測された事象) ①標的型攻撃メール ③外部通信 ②感染 2015 Information-technology Promotion Agency, Japan 65 攻撃のモデル化と対処 CybOX (Cyber Observable eXpression)  MITREが中心となり仕様策定を進めてきたもので、サイバー攻撃活動によって観測された事象を記述するためのXML仕様である。Mandiantの OpenIOC (侵害を受けたシステムの痕跡(Indicator of Compromise)を記述する仕様)を踏まえた仕様となっている。  経緯  2009年9月：CAPECの延長で検討開始  2010年6月：CAPEC 、 MAEC、CEEとの連携検討開始  2010年12月：スキーマVer0.4、Mandiant OpenIOC連携検討  2011年5月：CEEとの連携、 CybOXリリース  2012年1月：CybOXスキーマVer0.7リリース(MAEC Ver2.0連携)  2012年11月：CybOXスキーマVer1.0リリース  2014年1月：CybOXスキーマVer2.1リリース CAPEC(Common Attack Pattern Enumeration and Classification：共通攻撃パターン一覧) MAEC (Malware Attribute Enumeration and Characterization：マルウェア特徴属性一覧) CEE(Common Event Expression：共通イベント記述) 2015 Information-technology Promotion Agency, Japan 66 攻撃のモデル化と対処 CybOXで記述できる観測項目 Common API Account Address Artifact Code Device Disk DomainName File HostName Memory Mutex Process Product URI UserAccount Windows Win File Win Mutex Win Process Win Registry Key Win Service Win Task Win User Account Win Volume ：： UNIX Unix File Unix Pipe Unix Process Unix User Account Unix Volume ： 2015 Information-technology Promotion Agency, Japan Network Network Connection Network Flow Network Packet Network Route Network Socket Port Socket Address : Application DNS Cache DNS Query DNS Record Email Message HTTP Session PDF File : 67 攻撃のモデル化と対処標的型攻撃メールの観測事象(Observable)記述 malware_infected.zip 20131007.exe type=“FQDN"> [email protected] 36864 idref="example_observable-04"> Open Meeting 29 Oct at AK building Akihabara Connected_To Compressed 解凍 2015 Information-technology Promotion Agency, Japan attacker.example.com 実行 68 脅威情報構造化記述形式 Structured Threat Information eXpression 2015 Information-technology Promotion Agency, Japan 69 STIX 概要  MITREが中心となり仕様策定を進めてきたもので、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴付ける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報の共有などを目的としたXML仕様である。  経緯  2010年：US-CERTとCERT/CC、脅威情報の交換について検討開始 ⇒脅威情報を構造化したダイアグラムの作成  2012年6月： STIXスキーマVer0.3リリース  2013年4月： STIXスキーマVer1.0リリース  2014年5月： STIXスキーマVer1.1.1 リリース 2015 Information-technology Promotion Agency, Japan 70 STIX サイバー攻撃活動のプロファイリング RelatedIndicators Campaigns サイバー攻撃活動の意図 TypicalAssociatedTTP RelatedTTP Observables Indicators Observables 攻撃を特徴付ける事象攻撃によって観測された事象 LeveragedTTP Attribution TTPs サイバー攻撃者の行動や手口 ExploitTarget Threat_Actors Incidents インシデント SuggestedCOA ObservedTTP COATaken サイバー攻撃に関与している人／組織 COARequested Exploit_Targets 狙っているソフトウェア、システムや設定の弱点 Courses_Of_Action 脅威に対処するために取るべき措置攻撃者が何を実施しようとしているのか？どのように実施しようとしているのか？を特徴付けていくこと 2015 Information-technology Promotion Agency, Japan 71 STIX STIX言語で記述する脅威情報のXMLファイルの構成 STIX_Package STIX_Header Observables Indicators TTPs Exploit_Targets Related_Indicators Related_TTPs Incidents Courses_Of_Action Related_Incidents Associated_Campaigns Campaigns Attribution Threat_Actors Related_Packages Related_Packages 2015 Information-technology Promotion Agency, Japan 72 STIX サイバー攻撃活動(Campaigns)  該当するサイバー攻撃活動における意図や攻撃活動の状態などを記述            サイバー攻撃活動に関するタイトル(campaign:Title) サイバー攻撃活動の説明(campaign:Description) サイバー攻撃活動の概要(campaign:Short_Description) サイバー攻撃活動の名前(campaign:Name) サイバー攻撃活動の意図(campaign:Intended_Effect)* サイバー攻撃活動の状態(campaign:Status)* サイバー攻撃活動に関連する攻撃手口(campaign:Related_TTPs) サイバー攻撃活動に関連するインシデント(campaign:Related_Incidents) サイバー攻撃活動に関連する検知指標(campaign:Related_Indicators) サイバー攻撃活動に関連する攻撃者(campaign:Attribution) その他(campaign:Associated_Campaigns , campaign:Confidence, campaign:Activity, campaign:Information_Source, campaign:Handling, campaign:Related_Packages) 2015 Information-technology Promotion Agency, Japan 73 STIX サイバー攻撃活動(Campaigns)  攻撃活動の意図 (campaign:Intended_Effect) stixVocabs:IntendedEffectVocab-1.0 Advantage Advantage - Economic Advantage - Military Advantage - Political Theft Theft - Intellectual Property Theft - Credential Theft Theft - Identity Theft Theft - Theft of Proprietary Information Account Takeover Brand Damage Competitive Advantage 2015 Information-technology Promotion Agency, Japan stixVocabs:IntendedEffectVocab-1.0 Degradation of Service Denial and Deception Destruction Disruption Embarrassment Exposure Extortion Fraud Harassment ICS Control Traffic Diversion Unauthorized Access 74 STIX サイバー攻撃活動(Campaigns)  攻撃活動の状態 (campaign:Status) stixVocabs:CampaignStatusVocab-1.0 Ongoing Historic Future 2015 Information-technology Promotion Agency, Japan 75 STIX 攻撃者(ThreatActors)  攻撃者のタイプ、攻撃者の動機、攻撃者の熟練度、攻撃者の意図などの視点からサイバー攻撃に関与している人／組織について記述             攻撃者に関するタイトル(ta:Title) 攻撃者の説明(ta:Description) 攻撃者の概要(ta:Short_Description) 攻撃者の名前、組織名(ta:Identity) 攻撃者のタイプ(ta:Type)* 攻撃者の動機(ta:Motivation)* 攻撃者の熟練度(ta:Sophistication)* 攻撃者の意図(ta:Intended_Effect)* 攻撃者による計画と運用(ta:Planning_And_Operational_Support)* 攻撃者に関連する攻撃手口(ta:Observed_TTPs) 攻撃者に関連する攻撃活動(ta:Associated_Campaigns) その他(ta:Associated_Actors, ta:Handling, ta:Confidence, ta:Information_Source, ta:Related_Packages) 2015 Information-technology Promotion Agency, Japan 76 STIX 攻撃者(ThreatActors)  攻撃者のタイプ (ta:Type) stixVocabs:ThreatActorTypeVocab-1.0 Cyber Espionage Operations Hacker Hacker - White hat Hacker - Gray hat Hacker - Black hat Hacktivist State Actor / Agency eCrime Actor - Credential Theft Botnet Operator 2015 Information-technology Promotion Agency, Japan stixVocabs:ThreatActorTypeVocab-1.0 eCrime Actor - Credential Theft Botnet Service eCrime Actor - Malware Developer eCrime Actor - Money Laundering Network eCrime Actor - Organized Crime Actor eCrime Actor - Spam Service eCrime Actor - Traffic Service eCrime Actor - Underground Call Service Insider Threat Disgruntled Customer / User 77 STIX 攻撃者(ThreatActors)  攻撃者の動機 (ta:Motivation) stixVocabs:MotivationVocab-1.1 Ideological Ideological - Anti-Corruption Ideological - Anti-Establishment Ideological - Environmental Ideological - Ethnic / Nationalist Ideological - Information Freedom Ideological - Religious Ideological - Security Awareness Ideological - Human Rights Ego Financial or Economic Military Opportunistic Political 2015 Information-technology Promotion Agency, Japan  攻撃者の熟練度 (ta:Sophistication) stixVocabs:ThreatActorSophisticationVocab1.0 Innovator Expert Practitioner Novice Aspirant 78 STIX 攻撃者(ThreatActors)  攻撃者による計画と運用 (ta:Planning_And_Operational_Support) stixVocabs:PlanningAndOperationalSupportV ocab-1.0.1 Data Exploitation Data Exploitation - Analytic Support Data Exploitation - Translation Support Financial Resources Financial Resources - Academic Financial Resources - Commercial Financial Resources - Government Financial Resources - Hacktivist or Grassroot Financial Resources - Non-Attributable Finance Skill Development / Recruitment Skill Development / Recruitment - Contracting and Hiring Skill Development / Recruitment - Document Exploitation (DOCEX) Training Skill Development / Recruitment - Internal Training 2015 Information-technology Promotion Agency, Japan stixVocabs:PlanningAndOperationalSupportV ocab-1.0.1 Skill Development / Recruitment - Military Programs Skill Development / Recruitment - Security / Hacker Conferences Skill Development / Recruitment Underground Forums Skill Development / Recruitment - University Programs Planning Planning - Operational Cover Plan Planning - Open-Source Intelligence (OSINT) Gathering Planning - Pre-Operational Surveillance and Reconnaissance Planning - Target Selection 79 STIX 攻撃手口(TTPs)  意図、攻撃者の行動や手口、攻撃者が使用するリソース、攻撃対象、攻撃段階フェーズなどの視点からサイバー攻撃者の行動や手口について記述       攻撃手口に対するタイトル(ttp:Title) 攻撃手口の説明(ttp:Description) 攻撃手口の概要(ttp:Short_Description) 攻撃手口の意図(ttp:Intended_Effect)* 攻撃手口(ttp:Behavior)  攻撃手口のパターン(ttp:Attack_Patterns)  マルウェア情報(ttp:Malware)*  攻撃情報(ttp:Exploits) 攻撃者が使用するリソース(ttp:Resources)  攻撃で用いたツール(ttp:Tool)*  攻撃者の攻撃基盤(ttp:Infrastructure)* 2015 Information-technology Promotion Agency, Japan 80 STIX 攻撃手口(TTPs)  意図、攻撃者の行動や手口、攻撃者が使用するリソース、攻撃対象、攻撃段階フェーズなどの視点からサイバー攻撃者の行動や手口について記述     攻撃対象(ttp:Victim_Targeting)  攻撃対象の識別情報(ttp:Identity)  攻撃対象となるシステム(ttp:Targeted_Systems)*  攻撃対象となる情報(ttp:Targeted_Information)* 攻撃手口に関連する攻撃対象(ttp:Exploit_Targets) 攻撃段階フェーズ(ttp:Kill_Chain_Phases) その他(ttp:Related_TTPs, ttp:Information_Source, ttp:Kill_Chains, ttp:Handling, ttp:Related_Packages) 2015 Information-technology Promotion Agency, Japan 81 STIX 攻撃手口(TTPs)  攻撃手口の意図 (ttp:Intended_Effect) stixVocabs:IntendedEffectVocab-1.0 Advantage Advantage - Economic Advantage - Military Advantage - Political Theft Theft - Intellectual Property Theft - Credential Theft Theft - Identity Theft Theft - Theft of Proprietary Information Account Takeover Brand Damage Competitive Advantage Degradation of Service 2015 Information-technology Promotion Agency, Japan stixVocabs:IntendedEffectVocab-1.0 Denial and Deception Destruction Disruption Embarrassment Exposure Extortion Fraud Harassment ICS Control Traffic Diversion Unauthorized Access 82 STIX 攻撃手口(TTPs)  マルウェアのタイプ (ttp:Malware_Instance) stixVocabs:MalwareTypeVocab-1.0 Automated Transfer Scripts Adware Dialer Bot Bot - Credential Theft Bot - DDoS Bot - Loader Bot - Spam DoS / DDoS DoS / DDoS - Participatory DoS / DDoS - Script DoS / DDoS - Stress Test Tools 2015 Information-technology Promotion Agency, Japan stixVocabs:MalwareTypeVocab-1.0 Exploit Kits POS / ATM Malware Ransomware Remote Access Trojan Rogue Antivirus Rootkit 83 STIX 攻撃手口(TTPs)  攻撃で用いたツール (ttp:Tool) stixVocabs:AttackerToolTypeVocab-1.0 Malware Penetration Testing Port Scanner Traffic Scanner Vulnerability Scanner Application Scanner Password Cracking 2015 Information-technology Promotion Agency, Japan  攻撃対象となる情報 (ttp:Targeted_Information) stixVocabs:InformationTypeVocab-1.0 Information Assets Information Assets - Corporate Employee Information Information Assets - Customer PII Information Assets - Email Lists / Archives Information Assets - Financial Data Information Assets - Intellectual Property Information Assets - Mobile Phone Contacts Information Assets - User Credentials Authentication Cookies 84 STIX 攻撃手口(TTPs)  攻撃者の攻撃基盤 (ttp:Infrastructure) stixVocabs:AttackerInfrastructureTypeVocab1.0 Anonymization Anonymization - Proxy Anonymization - TOR Network Anonymization - VPN Communications Communications - Blogs Communications - Forums Communications - Internet Relay Chat Communications - Micro-Blogs Communications - Mobile Communications Communications - Social Networks Communications - User-Generated Content Websites Domain Registration 2015 Information-technology Promotion Agency, Japan stixVocabs:AttackerInfrastructureTypeVocab1.0 Domain Registration - Dynamic DNS Services Domain Registration - Legitimate Domain Registration Services Domain Registration - Malicious Domain Registrars Domain Registration - Top-Level Domain Registrars Hosting Hosting - Bulletproof / Rogue Hosting Hosting - Cloud Hosting Hosting - Compromised Server Hosting - Fast Flux Botnet Hosting Hosting - Legitimate Hosting Electronic Payment Methods 85 STIX 攻撃手口(TTPs)  攻撃対象となるシステム (ttp:Targeted_Systems) stixVocabs:SystemTypeVocab-1.0 Enterprise Systems Enterprise Systems - Application Layer Enterprise Systems - Database Layer Enterprise Systems - Enterprise Technologies and Support Infrastructure Enterprise Systems - Network Systems Enterprise Systems - Networking Devices Enterprise Systems - Web Layer Enterprise Systems - VoIP Industrial Control Systems Industrial Control Systems - Equipment Under Control Industrial Control Systems - Operations Management Industrial Control Systems - Safety, Protection and Local Control 2015 Information-technology Promotion Agency, Japan stixVocabs:SystemTypeVocab-1.0 Industrial Control Systems - Supervisory Control Mobile Systems Mobile Systems - Mobile Operating Systems Mobile Systems - Near Field Communications Mobile Systems - Mobile Devices Third-Party Services Third-Party Services - Application Stores Third-Party Services - Cloud Services Third-Party Services - Security Vendors Third-Party Services - Social Media Third-Party Services - Software Update Users Users - Application And Software Users - Workstation Users - Removable Media 86 STIX 検知指標(Indicators)  検知指標のタイプ、検知指標に関連する観測事象、攻撃段階フェーズ、検知指標の生成に用いたツールなどと共に、観測事象の中からサイバー攻撃を検知するために使用できる事象について記述             検知指標に対するタイトル(indicator:Title) 検知指標のタイプ(indicator:Type)* 別名(indicator:Alternative_ID) 検知指標の説明(indicator:Description) 検知指標の概要(indicator:Short_Description) 検知指標の有効期間(indicator:Valid_Time_Position) 検知指標に関連する観測事象(indicator:Observable) 検知指標を確認するための手段(indicator:Test_Mechanisms) 検知指標に関連する対処措置(indicator:Suggested_COAs) 検知指標に関連する情報(indicator:Sightings) 検知指標の生成に用いたツール(indicator:Producer) その他(indicator:Indicated_TTP, indicator:Kill_Chain_Phases, indicator:Composite_Indicator_Expression, indicator:Likely_Impact, indicator:Handling, indicator:Confidence, indicator:Related_Indicators, indicator:Related_Campaigns, indicator:Related_Packages) 2015 Information-technology Promotion Agency, Japan 87 STIX 検知指標(Indicators)  検知指標のタイプ (indicator:Type) stixVocabs:IndicatorTypeVocab-1.1 Malicious E-mail IP Watchlist File Hash Watchlist Domain Watchlist URL Watchlist Malware Artifacts C2 Anonymization Exfiltration Host Characteristics Compromised PKI Certificate Login Name IMEI Watchlist IMSI Watchlist 2015 Information-technology Promotion Agency, Japan 88 STIX 観測事象(Observables)  サイバー攻撃によって観測された事象として、ファイル名称、ハッシュ値やファイルサイズ、レジストリの値、稼働中のサービス、HTTP要求など、コンピュータやネットワークの動作に関わる事象を記述サイバー攻撃の観測事象を記述する仕様CybOXを使用 2015 Information-technology Promotion Agency, Japan 89 STIX インシデント(Incidents)  インシデントの分類、インシデントの関与者、インシデントによる被害を受けた資産、インシデントによる直接的／間接的な影響、インシデント対処の状況などの視点から、サイバー攻撃によって発生した事案について記述            インシデントに対するタイトル(incident:Title) 外部からの参照用ID(incident:External_ID) インシデントの時刻情報(incident:Time) インシデントの説明(incident:Description) インシデントの概要(incident:Short_Description) インシデントの分類(incident:Categories)* インシデントの報告者/報告組織(incident:Reporter) インシデントの対応者/対応組織(incident:Responder) インシデントの調整者/調整組織(incident:Coordinator) 被害を受けた組織(incident:Victim) インシデントの被害を受けた資産(incident:Affected_Assets)  資産の所有者(incident:Ownership_Class)*  資産の管理者(incident:Management_Class)*  資産の論理的な場所(incident:Location_Class)*  インシデントによる被害分類(incident:Property)* 2015 Information-technology Promotion Agency, Japan 90 STIX インシデント(Incidents)  インシデントの分類、インシデントの関与者、インシデントによる被害を受けた資産、インシデントによる直接的／間接的な影響、インシデント対処の状況などの視点から、サイバー攻撃によって発生した事案について記述           インシデントによる影響(incident:Impact_Assessment)  インシデントの影響を受けた対象(incident:Effects)* インシデント対処の状況(incident:Status)* インシデントで想定される意図(incident:Intended_Effect)* インシデントによる侵害有無(incident:Security_Compromise)* インシデントの発見方法(incident:Discovery_Method)* インシデントに要求される対処措置(incident:COA_Requested) インシデントに実施した対処措置(incident:COA_Taken) インシデントの連絡窓口(incident:Contact) 対処措置の履歴(incident:History) その他(incident:Related_Indicators, incident:Related_Observables, incident:Leveraged_TTPs, incident:Attributed_Threat_Actors, incident:Security_Compromise, incident:Discovery_Method, incident:Related_Incidents, incident:Confidence, incident:Information_Source, incident:Handling, incident:Related_Packages) 2015 Information-technology Promotion Agency, Japan 91 STIX インシデント(Incidents)  インシデントの分類 (incident:Category) stixVocabs:IncidentCategoryVocab-1.0 Exercise/Network Defense Testing Unauthorized Access Denial of Service Malicious Code Improper Usage Scans/Probes/Attempted Access Investigation 2015 Information-technology Promotion Agency, Japan  資産の所有者 (incident:Ownership_Class) stixVocabs:OwnershipClassVocab-1.0 Internally-Owned Employee-Owned Partner-Owned Customer-Owned Unknown 92 STIX インシデント(Incidents)  資産の管理者 (incident:Management_Class) stixVocabs:ManagementClassVocab-1.0 Internally-Managed Externally-Management Co-Management Unknown 2015 Information-technology Promotion Agency, Japan  資産の場所 (incident:Location_Class) stixVocabs:LocationClassVocab-1.0 Internally-Located Externally-Located Co-Located Mobile Unknown 93 STIX インシデント(Incidents)  インシデントによる被害分類 (incident:Property) stixVocabs:LossPropertyVocab-1.0 Confidentiality Integrity Availability Accountability Non-Repudiation 2015 Information-technology Promotion Agency, Japan  インシデントの影響を受けた対象 (incident:Effect) stixVocabs:IncidentEffectVocab-1.0 Brand or Image Degradation Loss of Competitive Advantage Loss of Competitive Advantage - Economic Loss of Competitive Advantage - Military Loss of Competitive Advantage - Political Data Breach or Compromise Degradation of Service Destruction Disruption of Service / Operations Financial Loss Loss of Confidential / Proprietary Information or Intellectual Property Regulatory, Compliance or Legal Impact Unintended Access User Data Loss 94 STIX インシデント(Incidents)  インシデントで想定される意図 (incident:Intended_Effect) stixVocabs:IntendedEffectVocab-1.0 Advantage Advantage - Economic Advantage - Military Advantage - Political Theft Theft - Intellectual Property Theft - Credential Theft Theft - Identity Theft Theft - Theft of Proprietary Information Account Takeover Brand Damage Competitive Advantage Degradation of Service 2015 Information-technology Promotion Agency, Japan stixVocabs:IntendedEffectVocab-1.0 Denial and Deception Destruction Disruption Embarrassment Exposure Extortion Fraud Harassment ICS Control Traffic Diversion Unauthorized Access 95 STIX インシデント(Incidents)  インシデント対処の状況 (incident:Status) stixVocabs:IncidentStatusVocab-1.0 New Open Stalled Containment Achieved Restoration Achieved Incident Reported Closed Rejected Deleted 2015 Information-technology Promotion Agency, Japan  侵害の発生有無 (incident:Security_Compromise) stixVocabs:SecurityCompromiseVocab-1.0 Yes Suspected No Unknown 96 STIX インシデント(Incidents)  発見方法 (incident:Discovery_Method) stixVocabs:DiscoveryMethodVocab-1.0 Agent Disclosure Fraud Detection Monitoring Service Law Enforcement Customer Unrelated Party Audit Antivirus Incident Response 2015 Information-technology Promotion Agency, Japan stixVocabs:DiscoveryMethodVocab-1.0 Financial Audit Fraud Detection HIPS IT Audit Log Review NIDS Security Alarm User Unknown 97 STIX 対処措置(Courses_Of_Action)  対処措置の状況、対処措置のタイプ、対処措置の目的、影響、費用、有効性などの視点から、脅威に対処するために取るべき措置について記述            対処措置に対するタイトル(coa:Title) 対処措置の状況(coa:Stage)* 対処措置のタイプ(coa:Type)* 対処措置の説明(coa:Description) 対処措置の概要(coa:Short_Description) 対処措置の目的(coa:Objective) 対処措置となる観測事象(coa:Parameter_Observables) 対処措置の影響(coa:Impact) 対処措置の費用(coa:Cost) 対処措置の有効性(coa:Efficacy) その他(coa:Structured_COA, coa:Information_Source, coa:Handling, coa:Related_COAs, coa:Related_Packages) 2015 Information-technology Promotion Agency, Japan 98 STIX 対処措置(Courses_Of_Action)  対処措置の状況 (coa:Stage) stixVocabs:COAStageVocab-1.0 Remedy Response 2015 Information-technology Promotion Agency, Japan  対処措置のタイプ (coa:Type) stixVocabs:CourseOfActionTypeVocab-1.0 Perimeter Blocking Internal Blocking Redirection Redirection (Honey Pot) Hardening Patching Eradication Rebuilding Training Monitoring Physical Access Restrictions Logical Access Restrictions Public Disclosure Diplomatic Actions Policy Actions Other 99 STIX 対処措置(Courses_Of_Action)    対処措置の影響(coa:Impact) 対処措置の費用(coa:Cost) 対処措置の有効性(coa:Efficacy) stixVocabs:HighMediumLowVocab-1.0 High Medium Low None Unknown 2015 Information-technology Promotion Agency, Japan 100 STIX 攻撃対象(Exploit_Targets)  脆弱性、脆弱性の種類、設定などの視点から、狙っているソフトウェア、システムや設定の弱点について記述         攻撃対象に対するタイトル(et:Title) 攻撃対象の説明(et:Description) 攻撃対象の概要(et:Short_Description) 脆弱性情報(et:Vulnerability)  CVE情報(et:CVE_ID)  OSVDB情報(et:OSVDB_ID)106311(et:OSVDB_ID)  CVSSスコアならびにベクタ(et:CVSS_Score) 脆弱性の種類(et:Weakness)  CWE情報(et:CWE_ID) 設定  CCE情報(et:CCE_ID) 攻撃対象に関連する対処措置(et:Potential_COAs) その他(et:Information_Source, et:Handling, et:Related_Exploit_Targets, et:Related_Packages) 2015 Information-technology Promotion Agency, Japan 101 検知指標情報自動交換手順 Trusted Automated eXchange of Indicator Information 2015 Information-technology Promotion Agency, Japan 102 TAXII 概要  DHSが主導し、MITREが中心となり仕様策定を進めてきたもので、サイバー攻撃を検知するために使用できる指標(Indicators)を交換するためのサービス、プロトコルならびにフォーマットを規定した仕様である。  経緯  2010年：US-CERTとCERT/CC、脅威情報の交換について検討開始  2012年3月：TAXIIに関する概要の公開  2013年4月：TAXII Ver1.0リリース  2014年1月：TAXII Ver1.1リリース TAXII プロトコルバインディング仕様 TAXII サービス仕様ネットワークトランスポートなどの転送仕様サービス定義メッセージタイプメッセージ交換 TAXII メッセージバインディング仕様メッセージフォーマットなどのメッセージ仕様 2015 Information-technology Promotion Agency, Japan 103 TAXII TAXIIサービスの概要 TAXIIサービス仕様 TAXII Services Version ID Service Specification v1.1 TTA TAXII転送エージェント TMH TAXIIメッセージハンドラ TAXII バックエンド集積データ脅威情報提供者 (Producer) TTA TAXII転送エージェント TAXII転送仕様 TAXII Protocol Version ID HTTP Protocol Binding Specification v1.0 TAXIIメッセージ仕様 TAXII Message Binding Version ID XML Message Binding Specification v1.1 TAXIIコンテンツ仕様 TAXII Content Binding ID Content Binding Reference v3.0 2015 Information-technology Promotion Agency, Japan TMH TAXIIメッセージハンドラ TAXII バックエンド集積データ脅威情報利用者 (Consumer) 104 TAXII TAXIIで規定されているID ID 名称サービス仕様 TAXII Services Version ID Service Specification v1.1 urn:taxii.mitre.org:services:1.1 転送仕様 TAXII Protocol Version ID HTTP Protocol Binding Specification v1.0 urn:taxii.mitre.org:protocol:http:1.0 urn:taxii.mitre.org:protocol:https:1.0 メッセージ仕様 TAXII Message Binding Version ID XML Message Binding Specification v1.1 urn:taxii.mitre.org:message:xml:1.1 コンテンツ仕様 TAXII Content Binding ID STIX XML 1.0 urn:stix.mitre.org:xml:1.0 STIX XML 1.0.1 urn:stix.mitre.org:xml:1.0.1 STIX XML 1.1 urn:stix.mitre.org:xml:1.1 STIX XML 1.1.1 urn:stix.mitre.org:xml:1.1.1 CAP 1.1 urn:oasis:names:tc:emergency:cap:1.1 CAP 1.2 urn:oasis:names:tc:emergency:cap:1.2 XML Encryption, December 2002 http://www.w3.org/2001/04/xmlenc# S/MIME application/pkcs7-mime 問合せ仕様 TAXII Query Format ID Default Query Specification v1.0 urn:taxii.mitre.org:query:default:1.0 2015 Information-technology Promotion Agency, Japan 105 TAXII TAXIIが提供するサービス仕様     Discovery TAXIIサービスの情報を提供する。 Collection Management TAXIIサービスが提供可能な集積データ(TAXII Data Collection)の参照を管理する。 Inbox TAXIIサービスに脅威情報を投稿する。 Poll TAXIIサービスが提供可能な集積データを参照する。 2015 Information-technology Promotion Agency, Japan 106 TAXII TAXIIで使用する転送仕様 HTTPヘッダ説明 Accept 受信可能なデータ形式 Content-Type [例] Accept: application/xml 格納するコンテンツのデータ形式 X-TAXII-Accept [例] Content-Type: application/xml TMHで受信可能なメッセージ仕様 TAXII Message Binding Version IDを設定 X-TAXII-Content-Type [例] X-TAXII-Accept: urn:taxii.mitre.org:message:xml:1.1 格納するTAXIIコンテンツのメッセージ仕様 TAXII Message Binding Version IDを設定 X-TAXII-Protocol [例] X-TAXII-Content-Type: urn:taxii.mitre.org:message:xml:1.1 TTAで使用する転送仕様 TAXII Protocol Version IDを設定 X-TAXII-Services [例] X-TAXII-Protocol: urn:taxii.mitre.org:protocol:http:1.0 TAXIIサービスのバージョン TAXII Services Version IDを設定 [例] X-TAXII-Services: urn:taxii.mitre.org:services:1.1 2015 Information-technology Promotion Agency, Japan 107 TAXII TAXIIで使用するメッセージ仕様     Discovery Discovery Request/Discovery Responseメッセージを利用する。TAXIIサービスの情報として、サービスタイプと共に、そのサービスに関連する属性情報であるTAXIIのサービス仕様、転送仕様、メッセージ仕様、コンテンツ仕様、提供 URLを応答する。 Collection Management Collection Information Request/Collection Information Response、 Subscription Management Request/Subscription Management Response メッセージを利用する。Collection Informationは、TAXIIサービスが提供可能な集積データの情報と共に、関連する属性情報を応答する。 Inbox Inbox Message/Status Messageメッセージを利用して、脅威情報を投稿する。投稿する脅威情報の形式は、コンテンツ仕様で記述する。 Poll Poll Request/Poll Responseメッセージを利用して、指定した集積データを参照する。集積データの形式は、コンテンツ仕様で記述する。 2015 Information-technology Promotion Agency, Japan 108 TAXII TAXIIで使用するメッセージ仕様(Discovery)  Discovery Request POST /services/discovery/ HTTP/1.1 Host: taxiitest.example.com Connection: keep-alive User-Agent: TAXII Client Application Content-Type: application/xml X-TAXII-Accept: urn:taxii.mitre.org:message:xml:1.1 X-TAXII-Content-Type: urn:taxii.mitre.org:message:xml:1.1 X-TAXII-Protocol: urn:taxii.mitre.org:protocol:http:1.0 X-TAXII-Services: urn:taxii.mitre.org:services:1.1 Content-Length: 124 TAXIIで使用する転送仕様 HTTP 2015 Information-technology Promotion Agency, Japan TAXIIで使用するメッセージ仕様 Discovery 109 TAXII TAXIIで使用するメッセージ仕様(Discovery)  Discovery Response HTTP/1.1 200 OK Date: Sat, 10 Jan 2015 16:33:07 GMT Server: Apache/2.2.15 (Red Hat) X-TAXII-Protocol: urn:taxii.mitre.org:protocol:http:1.0 X-TAXII-Content-Type: urn:taxii.mitre.org:message:xml:1.1 Connection: close Transfer-Encoding: chunked Content-Type: application/xml urn:taxii.mitre.org:protocol:http:1.0 http://taxiitest.example.com/services/inbox/default urn:taxii.mitre.org:message:xml:1.1 : : 2015 Information-technology Promotion Agency, Japan 110 TAXII TAXIIで使用するメッセージ仕様(Collection Management)  Collection Information Request TAXIIで使用する転送仕様HTTP要求ヘッダ 2015 Information-technology Promotion Agency, Japan 111 TAXII TAXIIで使用するメッセージ仕様(Collection Management)  Collection Information Response TAXIIで使用する転送仕様HTTP応答ヘッダ default urn:taxii.mitre.org:protocol:https:1.0 http://taxiitest.example.com/services/poll urn:taxii.mitre.org:message:xml:1.1 DATA_FEED: タイムスタンプ順に並べられた順序性のあるデータ群 DATA_SET: 順序性のないデータ群 2015 Information-technology Promotion Agency, Japan 112 TAXII TAXIIで使用するメッセージ仕様(Inbox)  Inbox Message TAXIIで使用する転送仕様HTTP要求ヘッダ～STIXで記述した検知指標など～ 2015 Information-technology Promotion Agency, Japan 113 TAXII TAXIIで使用するメッセージ仕様(Inbox)  Status Message TAXIIで使用する転送仕様HTTP応答ヘッダ 2015 Information-technology Promotion Agency, Japan 114 TAXII TAXIIで使用するメッセージ仕様(Poll)  Poll Request TAXIIで使用する転送仕様HTTP要求ヘッダ FULL FULL: データ件数とデータ COUNT_ONLY: データ件数のみ 2015 Information-technology Promotion Agency, Japan 115 TAXII TAXIIで使用するメッセージ仕様(Poll)  Poll Response TAXIIで使用する転送仕様HTTP応答ヘッダ 2015-01-10T03:03:03+09:00 1

Welcome back

Forgot password

Do not have an account? Register

Facebook Google

講義資料

Rating

Date

Size

Views

Categories

Share

Transcript

Forgot your password?.