いくつかのセキュリティ・ベンダーや組織は,インターネットの“危険度”を表す脅威レベルを評価し公表している[注1]。この脅威レベルが高ければ高いほど,インターネットが危険な状態(インターネット上あるいはインターネット経由で攻撃を受けやすい状態)になっていると判断できる。
脅威レベルの名称は,ベンダーや組織によってさまざま。例えばインターネットセキュリティシステムズ(ISS)では,「アラートコン(AlertCon)」としている。本稿ではISSのアラートコンを例に取り,脅威レベルの内容とその“活用法”を紹介する。
注1)企業/組織が公開しているインターネット・脅威レベルの例
・米Internet Security Systems(ISS)の「AlertCon」
・米Symantecの「ThreatCon」
・米SANS Institute Internet Storm Centerの「INFOCon」
・米国土安全保障省(DHS)の「Threat Level」
脅威レベルを4段階で評価
ISSが提供するアラートコンでは,現在のインターネットの脅威レベルを4段階で評価する(図1)。アラートコンで示される数値が大きいほど脅威のレベルが高い,つまり,危険な状況にあることを表している。
図1 ISSのアラートコン |
脅威レベルは,新たに公表された脆弱性(セキュリティ・ホール)情報の危険度や攻撃コードの有無,SOC(Security Operation Center)で検知されている攻撃の状況などをもとに評価される。具体的には,主に以下のような項目が考慮される。
- 新たに発見された脆弱性の危険度と攻撃コード作成の難易度
- 脆弱性を証明するプログラム・コードあるいは悪用したツール公開の有無
- SOCで確認された攻撃ツールの使用状況やマルウエア[注2]の活動状況
- 攻撃グループからの声明などの有無
- 事件/事故やテロなどの発生状況
注2)関連記事「『マルウエア』総まとめ~その特徴と分類方法~」
「アラートコン1」は,最も低い脅威レベルである。しかし,インターネットが安全な状態であることを示しているわけでない。SOCでは,過去に発見された脆弱性に対する攻撃を継続的に観測している。このため,たとえアラートコン1であっても(危険な脆弱性が新たに見つかっていなくても),基本的なセキュリティ対策を施していなければ,いつ被害に遭っても不思議ではない。
「アラートコン2」は,危険な脆弱性――リモートから管理者権限の取得や任意のプログラムの実行が可能な脆弱性――が見つかった場合や,PoC(Proof of Concept:脆弱性の存在を証明するコード)あるいは脆弱性を悪用するツールなどが確認された場合に適用される脅威レベルである。
最近では,Internet ExplorerのVML(Vector Markup Language)に関する脆弱性[注3]を悪用するコードが出回った際に,アラートコンが2に引き上げられた(図2)。
注3)Vector Markup Language の脆弱性により,リモートでコードが実行される(マイクロソフト),Microsoft Internet ExplorerでのVector Markup Language 悪用に関するアラート(ISS)
図2 アラートコン2へ引き上げたことを伝えるX-Force情報 |
