脆弱性




脆弱性(ぜいじゃくせい、英: vulnerability)は情報セキュリティ・サイバーセキュリティの用語で、安全性上の弱点を指す。




目次






  • 1 ISO 27000における定義


  • 2 CAPECにおける脆弱性の分類


  • 3 代表的な脆弱性


  • 4 脚注


  • 5 関連項目


  • 6 外部リンク





ISO 27000における定義



ISO 27000およびそれと同等なJIS Q 27000(ISMSの用語を規定)では脆弱性を


一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点[1]


とより厳密に定義している。


ここで




  • 脅威(threat)とは「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」[2]

    • (情報セキュリティ)インシデントとは「望まない単独若しくは一連の情報セキュリティ事象,又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの」[3]



  • 管理策(control)とは「リスクを修正する対策」[4]

    • リスクとは「目的に対する不確かさの影響」[5]




CAPECにおける脆弱性の分類


Mitre社のCAPECでは攻撃パターンによって脆弱性をツリー状に分類しており、その最上位の分類は以下のものである[6]
分類
 分類(邦訳)
 概要
Engage in Deceptive Interactions[6]
 欺いたやりとりに従事する
 「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン[7]
Abuse Existing Functionality[6]
 既存の機能を悪用する
 「悪事を達成する為、もしくは標的となる機能が影響を受けるほどにリソースを枯渇させる為、アプリケーションの1つ以上の機能を使ったり操ったり」[8]する攻撃パターン
Manipulate Data Structures[6]
 データ構造を操る
 「システムのデータ構造の本来意図された使用方法や防御機構に違反するために、そのデータ構造の特徴を操ったり悪用したりする」[9]攻撃パターン
Manipulate System Resources[6]
 システムリソースを操る
 「攻撃者が望む結果を得るために、1つ以上のリソースを操る」[10]攻撃パターン
Inject Unexpected Items[6]
 予想外のものを挿入する
 「入力インターフェースから細工されたデータを挿入するか、あるいはターゲットのシステムに悪意のあるコードをインストールして実行するかして、標的の行動をコントロールするか邪魔するかする」[11]攻撃パターン
Employ Probabilistic Techniques[6]
 確率的手法を採用する
 「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン[7]
Manipulate Timing and State[6]
 タイミングや状態を操作する
 「標的のコードやプロセスの実行フローの防御を回避した行動を取るために、関数の状態や呼び出しタイミングの弱点を利用する」[12]攻撃パターン
Collect and Analyze Information[6]
 情報を収集し、分析する
 「情報の収集と窃取に関する」[13]攻撃パターン
Subvert Access Control[6]
 アクセスコントロールの破壊
 「識別、認証、およびリソースへのアクセスや機能認可の管理に用いているメカニズムの弱点、制限、ないし仮定を能動的に悪用する」[14]攻撃パターン


代表的な脆弱性







脚注


[ヘルプ]




  1. ^ JIS Q 27000:2014 箇条 2.89。


  2. ^ JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。


  3. ^ JIS Q 27000:2014 箇条 2.36


  4. ^ JIS Q 27000:2014 箇条 2.16。


  5. ^ JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。

  6. ^ abcdefghij“CAPEC-1000: Mechanisms of Attack”. 2018年11月30日閲覧。

  7. ^ ab“CAPEC-156: Engage in Deceptive Interactions”. 2018年11月30日閲覧。


  8. ^ “CAPEC-210: Abuse Existing Functionality”. 2018年11月30日閲覧。


  9. ^ “CAPEC-255: Manipulate Data Structures”. 2018年11月30日閲覧。


  10. ^ “CAPEC-262: Manipulate System Resources”. 2018年11月30日閲覧。


  11. ^ “CAPEC-152: Inject Unexpected Items”. 2018年11月30日閲覧。


  12. ^ “CAPEC-172: Manipulate Timing and State”. 2018年12月3日閲覧。


  13. ^ “CAPEC-118: Collect and Analyze Information”. 2018年12月3日閲覧。


  14. ^ “CAPEC-225: Subvert Access Control”. 2018年12月3日閲覧。




関連項目


  • 脆弱性情報データベース


外部リンク





ウィキメディア・コモンズには、脆弱性に関連するカテゴリがあります。


  • ISMS関連のISO/IECとJIS

    • “JIS検索”. 日本工業標準調査会 JISC(Japanese Industrial Standards Committee). 2016年8月10日閲覧。 JIS本文を閲覧可能

      • JIS Q 27000:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語

      • JIS Q 27001:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項

      • JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範




  • “CAPEC Common Attack Pattern Enumeration and Classification. A Common Resource for Identifying and Understanding Attacks”. Mitre. 2018年12月3日閲覧。


  • “Welcome To The Web Application Security Consortium Project page”. 2018年12月10日閲覧。

    • WASC THREAD CLASSIFICATION version 2.0.0 (PDF)”. 2018年12月10日閲覧。

    • Web Security Consortium: 脅威の分類 version 1.0.0 (PDF)”. 2018年12月10日閲覧。

























































脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃



  • クロスサイトリクエストフォージェリ(CSRF)


  • クロスサイトスクリプティング(XSS)

  • クロスサイト・クッキング

  • クロスサイトトレーシング(英語版)

  • クロスゾーンスクリプティング(英語版)

インジェクション攻撃(CWE-74)


  • クロスサイトスクリプティング(XSS)(CWE-79)


  • SQLインジェクション(CWE-89)


  • HTTPヘッダ・インジェクション(CWE-78)


  • HTTPレスポンススプリッティング(英語版)(CWE-78)


  • 書式文字列攻撃(CWE-134)

    		•
    スプーフィング攻撃

  • DNSスプーフィング

  • IPスプーフィング

  • ARPスプーフィング


  • クリックジャッキング(CAPEC-103)

  • リファラスプーフィング(英語版)

  • Eメールスプーフィング(英語版)


  • フィッシング(CAPEC-98)


  • ファーミング(CAPEC-89)

    		•

    セッションハイジャック関連


  • セッションフィクセーション(CWE-384,CAPEC-61)


  • セッションポイズニング(英語版)(CWE-113)

  • TCPシーケンス番号予測攻撃

  • クッキーモンスター攻撃(英語版)

    		•
    DoS攻撃

  • Land攻撃

  • クリアチャネル評価攻撃(英語版)

    		•
    サイドチャネル攻撃

  • コールドブート攻撃(英語版)

  • Meltdown

  • Spectre

  • Lazy FP state restore(英語版)

  • TLBleed(英語版)

    		•
    不適切な入力確認(CWE-20)


  • バッファオーバーラン(CWE-119,120,121等)

  • Return-to-libc攻撃


  • ディレクトリトラバーサル(CWE-22)

    		•
    未分類


  • 中間者攻撃(CAPEC-94)

  • MITB攻撃


  • Off-by-oneエラー(CWE-193)

  • ファイルインクルード脆弱性(英語版)

  • Mass Assignment脆弱性(英語版)

  • ダングリングポインタ(英語版)

  • DNSリバインディング(英語版)

  • in-sessionフィッシング(英語版)

  • クッキースタッフィング(英語版)

  • 悪魔の双子攻撃(英語版)

  • IDNホモグラフ攻撃

  • スナーフィング(英語版)

  • JITスプレーイング(英語版)

  • リプレイ攻撃

  • 誕生日攻撃

  • CRIME

  • KRACK


  • Intel ME(英語版)の脆弱性

    		•
    対策

  • OP25B

  • Content Security Policy(英語版)

  • コンテントスニッフィング(英語版)


  • HTTP Strict Transport Security(HSTS)

  • ファイアウォール


  • 侵入防止システム(IPS)


  • 侵入検知システム(IDS)


  • Web Application Firewall(WAF)

  • Wi-Fi Protected Access

    		•
    関連項目

  • マルウェア

  • セキュリティホール

  • クラッキング

  • 脆弱性情報データベース

  • ブラウザクラッシャー

  • シェルコード

  • Metasploit

  • Sshnuke

  • Nikto Web Scanner(英語版)

  • OWASP(英語版)

  • w3af(英語版)

  • 隠れ通信路(英語版)

    		•



    -

    Popular posts from this blog

    CARDNET

    Image
    CARDNET は日本カードネットワークが運営するクレジット決済ネットワーク。日本カードネットワークの略称としてもCARDNETが使用されている。 事件・事故 2017年4月15日午前11時8分からクレジットカードの決済がしづらくなる障害が発生した。障害は同日午後5時18分に復旧した。原因は、複数あるCARDNETセンターの拠点のうち1つで、2重化してあるL3スイッチの片方が故障し、1系統にトラフィックが集中したことによる輻輳が発生したため。対処としては、故障したL3スイッチ交換とシステム再起動が行われた [1] 。 出典 ^ 金子寛人 ( 2017年4月17日 ). “CARDNETのクレジット決済に6時間強障害、原因はL3スイッチ故障”. 日経コンピュータ. 2018年10月18日 閲覧。 この項目は、コンピュータに関連した 書きかけの項目 です。この項目を加筆・訂正などしてくださる協力者を求めています(PJ:コンピュータ/P:コンピュータ)。 この項目は、経済に関連した 書きかけの項目 です。この項目を加筆・訂正などしてくださる協力者を求めています(ポータル 経済学、プロジェクト 経済)。 This page is only for reference, If you need detailed information, please check here
    Read more

    Boot-repair Failure: Unable to locate package grub-common:i386

    Image
    0 I am on a system dual-booting Windows and Debian (usually using the latter), and a recent Windows update appears to have wreaked havoc on the Debian boot system. I managed to boot Windows again, but not Linux. Following online suggestions, I created a Live USB of Ubuntu, and booted from that. Then I have installed and run the boot-repair utility. The utility instructs me to type several lines including sudo chroot "/mnt/boot-sav/sda6" apt-get purge -y grub*-common grub-common:i386 To which I receive the error E: Unable to locate package grub-common:i386 I am given to understand the issue may have to do with having UEFI vs BIOS (I believe I have UEFI), but do not understand this well. In any case I have subsequently run the boot-repair BootInfo Summary utility which created the following file h
    Read more

    濃尾地震

    Image
    濃尾地震 『岐阜市街大地震之図』 歌川国利画 本震 発生日 1891年(明治24年)10月28日 発生時刻 6時38分50秒(JST) 震央 日本 岐阜県本巣郡西根尾村(現・本巣市) 北緯35度35分 東経136度20分( 地図 ) 規模    マグニチュード(M)8.0 最大震度    震度7: 注1 福井県今立郡鯖江町、愛知県葉栗郡大田島村、東春日井郡勝川村 地震の種類 直下型地震 被害 死傷者数 死者7,273人、負傷者17,175人 注1:当時の震度階級では「激烈」 プロジェクト:地球科学 プロジェクト:災害 テンプレートを表示 濃尾地震 (のうびじしん)は、1891年(明治24年)10月28日に濃尾地方で発生した、日本史上最大の内陸地殻内地震。「 美濃・尾張地震 (みの・おわりじしん)」とも呼ばれている。辛卯の年に発生したことから 辛卯震災 と呼んでいる報告書もある。 目次 1 概要 1.1 震源断層 2 被害 3 各地の震度 4 前兆現象 5 報道 6 学術的な意義 7 地震防災 8 脚注 9 関連項目 10 外部リンク 概要 濃尾地震発生当時の根尾谷断層 濃尾地震を引き起こした根尾谷断層 写真中央を斜めに走る段差が根尾谷断層 濃尾地震は、1891年10月28日6時38分50秒に発生した。震源は、岐阜県本巣郡西根尾村(現・本巣市)、北緯35度35分、東経136度20分付近。河角廣 (1951) は岐阜市付近(北緯35.6度、東経136.6度)に震央を仮定し規模 M K = 7.0 を与え [1] 、マグニチュードは M = 8.4 に換算されているが、明治・大正期の地震については0.5程度大きく見積もられているとされる [2] 。また、震央距離と震度との関係など当時のデータから後にM8.0 [3] とも推定される。アメリカ地質調査所 (USGS) でも8.0としている [4] 。「根尾谷断層帯」が活動した典型的な内陸地殻内地震(いわゆる直下型地震)であり、これは記録が残っている日本の内陸
    Read more