6月10日、FIRST(Forum of Incident Response and Security Teams)から、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)v3がリリースされました。
CVSSは、脆弱性そのものの特性を評価する基本評価基準、脆弱性の現在の深刻度を評価する現状評価基準、ユーザーの利用環境も含め、最終的な脆弱性の深刻度を評価する環境評価基準から脆弱性を評価する手法です。2007年にリリースされたCVSS v2では、攻撃対象となるホストやシステムにおいての『脆弱性による深刻度」を評価していましたが、CVSS v3では、仮想化やサンドボックス化などが進んできたことから、コンポーネント単位で評価する仕様となっています。
今回は、基本評価基準におけるCVSS v2とv3の違いを紹介します。
攻撃元区分に「物理」を追加
脆弱なコンポーネントをどこから攻撃可能であるかを評価する攻撃元区分に、「物理」が追加され、選択肢が、「ネットワーク」「隣接」「ローカル」「物理」の4つとなりました。
2項目追加、1項目削除
攻撃の難易度を評価する項目に「必要な特権レベル』「ユーザー関与レベル」が追加され、「攻撃前認証要否」が削除されました。削除された「攻撃前認証要否」については、「必要な特権レベル」の一部として評価することになりました。
脆弱性による影響の広がり有無を加味
従来、脆弱性の深刻度は、脆弱なコンポーネントに対して、攻撃の難易度を評価する項目と、攻撃による影響を評価する項目から評価していました。攻撃の難易度を評価する項目は「攻撃元区分」「攻撃条件の複雑さ」「必要な特権レベル」「ユーザー関与レベル」、攻撃による影響を評価する項目は「機密性への影響」「完全性への影響」「可用性への影響」といったものです。これに対してv3では、脆弱性による影響が他のシステムにまで及ぶ可能性があるかどうかを、評価に加味することになりました(図1)。例としては、クロスサイトスクリプティングのように、Webアプリケーションに存在する脆弱性がWebアプリケーション利用者のPCに影響する事例や、ゲストOSに存在する脆弱性がホストOSに影響する事例などが該当します。
ここからは、6月14日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
