サイバーセキュリティ CVE系
今回は、脆弱性関連の用語の整理と情報収集に便利なサイトを徒然なるままにご紹介します。
リンクが切れた場合のメンテナンスまでは確約できませんので、予めご了承願います🙇♂️
CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)…特定のソフトウェアやシステムに存在する脆弱性を識別するための標準的な識別子です。攻撃者もこの情報に注目し、悪用しています。
JVN(Japan Vulnerability Notes)…日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。
EPSS(Exploit Prediction Scoring System:悪用予測スコアリングシステム)…今後30日間に観察されるエクスプロイト活動の確率を毎日推定したもので、脆弱性が見つかってもどれから対処したら良いかわからない場合の優先度に活用できそう。
KEV(Known Exploited Vulnerabilities Catalog:既知の悪用された脆弱性一覧)…リンクは敢えて日本語の方にしました。関連するソフトウェアを利用している場合は対処優先度:最優先です。掲載基準は、①CVE IDが割り当てられている脆弱性、②実際に悪用されている脆弱性、③明確な是正ガイダンスが提供されている脆弱性 ※ここに掲載される前に悪用される可能性があることにも注意しましょう!
CWE (Common Weakness Enumeration:共通脆弱性タイプ)…ソフトウェアやシステムにおける共通の脆弱性タイプをリスト化したもの。CVEを汎化したもので何が問題かがわかる。
CAPEC (Common Attack Pattern Enumeration and Classification:共通攻撃パターンの列挙と分類)…サイバーセキュリティにおける攻撃パターンを列挙し、分類するためのフレームワークであり、どのようにその問題が悪用されるかがわかる。
脆弱性…不具合(バグ)のうち、悪用することが可能なもの。バグを減らせば、脆弱性は減らせる。脆弱性のうち、実際に悪用されるものはさらにごく一部である。
0-day(ゼロデイ)攻撃…発見された脆弱性に対する修正パッチ等の対策が公開される前に悪用すること。EOL(End of Life)を迎えた製品の脆弱性が放置されたまま運用している場合もあり、DDoSやScanに悪用されることもあります。
N-day(エヌデイ)攻撃…発見された脆弱性に対する修正パッチ等の対策が公開されたにも関わらず、気づかず放置されたり、運用への影響を考慮して修正パッチ適用するまでの間に時間が経過し、悪用すること。
Vumetric Cyber Portal…リンク先に表示されるCVE IDをクリックすると、関連するCWEやCAPECが記載されているので便利
Vuldb.com…EPSSも利用できるサイト。Google Hackingの情報もスコアリングされていて便利そう。ただし、表示が遅い。。。
以上、いかがだったでしょうか?
自分の備忘録なので、いつの間にか情報を更新するかもしれませんが、皆様のリテラシー向上に少しでもお役に立てれば幸いです。
では、また。
CVSSv3.1の値がサイトによって異なる場合があることに気づき、こちらのサイトの情報が有用そうなので追記(2024/11/17)。
NVDの公表するCVSSより、EPSSの方が公表が早いようです。また、EPSSパーセンタイルは、特定の脆弱性のEPSSスコアが、他の脆弱性のスコアと比較してどの程度高いかを示す割合なので、優先度を考えるうえでも活用可能です。