脆弱性の危険度(ざっくり)

まあCVSSの解説見ろよって話なんだけど、ありがちな脆弱性の危険度は個人的にはこんなイメージです。

総合的な危険度 = 条件 × 影響

条件

脆弱性の攻撃に必要な前提条件が「狭い」のであればそれほど問題ないです。

  1. 一番ヤバイ: TCPUDP、IPによりネットワークから送られた通信で攻撃が成立
    • Slammer(しかもハンドシェークが不要なUDPのため被害が拡大)
    • Heartbleed
    • Shellshock、GHOST(ただし一部のミドルウェア)
  2. だいぶヤバイ: 通信路に割り込まないとイケない(MITM) *1
    • アクティブに通信に割り込むかどうかで度合いが変わる
    • POODLEとか
    • FREAK
  3. そこそこヤバイ: ネットワーク経由での攻撃ができるが、認証後でないと成立しない
  4. ヤバイ: ログイン後の一般ユーザーで攻撃が成立
  5. ちょっとヤバイ: 弱い設定をしている場合など限られた条件でのみ攻撃が成立
    • 当初はFREAKもここだと思われていた
  6. まあヤバイ: 物理的に接触された場合にのみ攻撃が成立
    • USB メモリに扮したキーボードデバイスみたいな奴

影響

  1. 即死級: コード実行
    • 送り込まれたプログラムコードを実行してしまう。
    • 発見次第即座にパッチを当てないと死ぬ。攻撃条件次第ではインターネット崩壊
    • Shellshock、GHOSTはここ、ただし、コード実行に至る条件がそれなりに厳しかった
    • 伝説のSQL Slammerもこれ。発生して最初の10分間で、インターネット上の条件を満たすサーバの90%に相当する75000台に感染したらしい。
  2. 超緊急: PKI基盤の毀損
    • 他の攻撃とセットでremote code送り込まれるから可能性が生まれただけでアウトなんだよ!!
    • この前のLenovoSuperfishみたいなやつ。
  3. 緊急: サーバ内容(ディスクやメモリ)の漏洩
  4. 重要: 通信内容の漏洩
    • ログイン情報などが漏れた場合は利用者対応が必要
    • あくまでサービスの機能として可能な範囲に影響は留まる (提供していないことはやられない)
    • 特定のサービスを対象に大規模にMITM等が行われた場合、リスト型攻撃などのリスト作成に使われる可能性もあるにはある。
    • FREAKやPOODLE
  5. 要対応: サービス停止(DoS)
    • サービスが止まること自体の損害のみ
    • ただし、DoSと思っていたら、後になってメモリ漏洩も可能と変身回数を残している場合があるので注意。
    • 今回のOpenSSLとか、ほとんどの環境におけるGHOST

備考

あくまで「ざっくり」なので、エンジニアであればちゃんとCVSSの解説を読んで、どういう判断軸があるか知った方が良いです。

  1. 基本評価基準 (Base Metrics)
    1. AV :攻撃元区分 (Access Vector)
    2. AC :攻撃条件の複雑さ (Access Complexity)
    3. Au :攻撃前の認証要否 (Authentication)
    4. C :機密性への影響 (情報漏えいの可能性、 Confidentiality Impact )
    5. I :完全性への影響 (情報改ざんの可能性、 Integrity Impact )
    6. A :可用性への影響 (業務停止の可能性、 Availability Impact )
  2. 現状評価基準 (Temporal Metrics)
    1. E :攻撃される可能性 (Exploitability)
    2. RL :利用可能な対策のレベル (Remediation Level)
    3. RC :脆弱性情報の信頼性 (Report Confidence)
  3. 環境評価基準 (Environmental Metrics)
    1. CDP :二次的被害の可能性 (Collateral Damage Potential)
    2. TD :影響を受ける対象システムの範囲 (Target Distribution)
    3. CR, IR, AR :対象システムのセキュリティ要求度(Security Requirements)

上では、基本評価基準のうちAV+AC+Auの例を「条件」、C+I+Aの例を「影響」として紹介しました。

実際に、脆弱性対応の緊急度(どれぐらいの間に対応が強いられているか)を判断するには、現状評価基準や環境評価基準の項目を考慮する必要があります。

*1:DNSが脆弱であることが判明しているので、ドメインネームで通信を行うのが一般的な現状では攻撃の条件としてだいぶ容易になっています。