Cvss v3 を使った脆弱性の評価 公開版

CVSS v3 を使った脆弱性の評価サイボウズ株式会社

Copyright (C) Cybozu,Inc. 1

CVSS(Common Vulnerability Scoring System)

•脆弱性に対するオープンで標準的な評価手法

•脆弱性を 2 軸で評価し、深刻度を定量化

Copyright (C) Cybozu,Inc. 2

攻撃による影響

情報の CIA をどの程度侵害するか

攻撃の難易度

攻撃者がシステムを容易に攻撃できるか

CVSS v3 の評価

•攻撃対象となるコンポーネントの脆弱性による影響を評価

3

深刻度Ⅲ

深刻度Ⅱ

https://www.ipa.go.jp/security/vuln/CVSSv3.html

共通評価システム CVSS v3 概説

Copyright (C) Cybozu,Inc.

コンポーネント

•各ソフトウェア / サービスや Web ブラウザのこと

Copyright (C) Cybozu,Inc. 4

cybozu.com 管理と共通設定

特定ドメイン

コンポーネントと管理権限の範囲（１）

•サービスを構成するコンポーネント群

Copyright (C) Cybozu,Inc. 5

cybozu.com 管理と共通設定

特定ドメイン

kintone の管理権限の範囲（Authorization Scope）

コンポーネントと管理権限の範囲（２）

•サービスを構成するコンポーネント群

Copyright (C) Cybozu,Inc. 6

cybozu.com 管理と共通設定

特定ドメイン

Garoon の管理権限の範囲（Authorization Scope）

コンポーネントと管理権限の範囲（３）

•クライアント端末は別の Authorization Scope

Copyright (C) Cybozu,Inc. 7

cybozu.com 管理と共通設定

特定ドメイン

端末の管理権限の範囲（Authorization Scope）

CVSS v3 の評価観点

Copyright (C) Cybozu,Inc. 8

CVSS v3

攻撃の難易度 どこから攻撃可能であるか攻撃元区分（AV: Access Vector）

攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ（AC: Access Complexity）

攻撃する際に必要な特権レベル必要な特権レベル（PR: Privileges Required）

攻撃する際に必要なユーザ関与レベルユーザ関与レベル（UI: User Interaction）

攻撃による影響 攻撃による影響範囲の想定範囲影響の想定範囲（S: Scope）

機密情報が漏えいする可能性機密性への影響（C: Confidentiality Impact）

情報が改ざんされる可能性完全性への影響（I: Integrity Impact）

業務が遅延・停止する可能性可用性への影響（A: Availability Impact）

9

CVSS v3 の評価観点

Copyright (C) Cybozu,Inc.

攻撃元区分（AV: Access Vector）

•システムをどこから攻撃可能であるか

Copyright (C) Cybozu,Inc. 10

攻撃の難易度

脆弱なコンポーネントに対しネットワーク経由で攻撃可能か

脆弱性に対し、ルータ経由（OSI 参照モデル L3）で

攻撃可能か

攻撃成立のために物理的に対象にアクセスする

必要があるか

Yes

No

ネットワーク（N）インターネット経由で攻撃可能

隣接（A）隣接ネットワークから攻撃可能（Wifi , Bluetooth などを含む）

ローカル（L）ローカル App 経由で攻撃可能（ユーザに App を開かせる等）

物理（P）攻撃者が攻撃対象に物理的にアクセスする必要がある

Yes

No

Yes

No

攻撃条件の複雑さ（AC: Access Complexity）

•攻撃に必要な条件がどのようなものか

Copyright (C) Cybozu,Inc. 11

攻撃の難易度

攻撃者は、攻撃者自身の意思のままに攻撃可能か

低（L）攻撃成立に必要な条件はなく、攻撃者はいつでも攻撃可能

高（H）攻撃者以外に依存する攻撃条件が存在し、対象の環境に関する情報収集などが必要。または中間者攻撃を行う必要がある。

Yes

No

中間者攻撃

•他人のネットワーク上での通信に対して、通信経路上に介入して通信内容を書き換える攻撃

Copyright (C) Cybozu,Inc. 12

盗聴

通常の通信

中間者攻撃

必要な特権レベル（PR: Privileges Required）

•攻撃に必要な認証レベルを評価

Copyright (C) Cybozu,Inc. 13

攻撃の難易度

攻撃前に認証が必要か

攻撃前に必要な認証は管理者権限に相当するか

No

Yes

不要（N）認証なしで攻撃可能（第三者による攻撃が可能）

低（L）攻撃者はコンポーネントに対する基本的な権限を有している必要がある（ユーザ権限相当）

高（H）攻撃者はコンポーネントに対する管理者権限相当を有している必要がある

No

Yes

ユーザ関与レベル（UI: User Interaction）

•攻撃のためにユーザ（被害者）の関与が必要かを評価

Copyright (C) Cybozu,Inc. 14

攻撃の難易度

攻撃の成立までにユーザのアクションが必要か

不要（N）ユーザが何もしなくても攻撃が完了する

要（R）攻撃完了のために、ユーザによるリンクのクリック、ファイル閲覧、設定変更など何らかのアクション（関与）が必要

No

Yes

影響の想定範囲（S: Scope）

•攻撃による被害の想定範囲を評価

Copyright (C) Cybozu,Inc. 15

攻撃による影響

攻撃の影響が、攻撃を直接受ける対象とは別のコンポーネントに

まで及ぶか

変更有り（C）影響が脆弱なコンポーネントにまで波及する（XSS、リフレクター攻撃など）

変更なし（U）影響範囲は脆弱なコンポーネント内に留まる

Yes

No

脆弱性の影響がコンポーネントの範囲外に広がる場合、1.2 倍程度評価値が高くなる。

影響範囲の拡大に関する考え方（１）

•脆弱性の影響が Authorization Scope を超えるか

Copyright (C) Cybozu,Inc. 16

cybozu.com 管理と共通設定

特定ドメイン

攻撃者は kintone を攻撃したが、影響が kintone の管理権限の範囲（Authorization Scope）を超えていないので、影響範囲の変更は無し

影響範囲の拡大に関する考え方（２）

•脆弱性の影響が Authorization Scope を超えるか

Copyright (C) Cybozu,Inc. 17

cybozu.com 管理と共通設定

特定ドメイン

攻撃者は kintone を攻撃したが、影響が kintone の管理権限の範囲（Authorization Scope）を超えているので、影響範囲の変更がされたと評価

情報セキュリティの３要素

Copyright (C) Cybozu,Inc. 18

攻撃による影響

情報

セキュリティ

機密性

完全性可用性

Availability Integrity

Confidentiality

機密性への影響（C: Confidentiality Impact）

•攻撃された際に機密性に影響があるか

Copyright (C) Cybozu,Inc. 19

攻撃による影響

攻撃成立によって機密性に何らかの影響を

受けるか

すべての情報または、重要な情報が漏えいするか

高（H）攻撃成立によって全てのファイルまたは、機密情報や重要なファイルシステムが参照可能になる（認証情報の漏えい等）

低（L）一部ファイルシステムが参照可能だが、機密情報や重要なファイルシステムは参照できない

なし（N）システムの機密性に影響はない（情報漏えいは起こらない）

Yes

No

Yes

No

完全性への影響（I: Integrity Impact）

•攻撃された際に完全性に影響があるか

Copyright (C) Cybozu,Inc. 20

攻撃による影響

攻撃成立によって完全性に何らかの影響を

受けるか

すべての情報または、重要な情報を改ざんされるか

高（H）攻撃成立によって全てのファイルまたは、機密情報や重要なファイルシステムを改ざん可能になる（認証情報の漏えい等）

低（L）一部ファイルシステムを改ざん可能だが、機密情報や重要なファイルシステムは改ざんできない

なし（N）システムの完全性に影響はない（情報改ざんは起こらない）

Yes

No

Yes

No

可用性への影響（A: Availability Impact）

•攻撃された際に可用性に影響があるか

Copyright (C) Cybozu,Inc. 21

攻撃による影響

攻撃成立によって可用性に何らかの影響を

受けるか

システムを完全に停止または、リソースを完全に枯渇させる

ことが可能か

高（H）システムを完全に停止させたりネットワーク帯域やディスクスペースなどのリソースを完全に枯渇させることが可能

低（L）システムを一時的または、部分的に停止させたり、リソースを一時的または部分的に枯渇させることが可能

なし（N）システムの可用性に影響はない（システム停止・遅延は起こらない）

Yes

No

Yes

No

深刻度の評価

Copyright (C) Cybozu,Inc. 22

CVSS の評価基準

•３つの評価基準が存在します。

• 基本評価基準（Basic Metric）• 脆弱性の技術的な特性を評価する基準

• 現状評価基準（Temporal Metric）• ある時点における脆弱性を取り巻く状況を評価する基準

• 環境評価基準（Environmental Metric）• ユーザ環境における問題の大きさを評価する基準

•サイボウズでは基本評価基準を用います

Copyright (C) Cybozu,Inc. 23

24

深刻度を５段階で評価

深刻度 CVSS v3 基本値

緊急（Critical） 9.0 ～ 10.0

重要（High） 7.0 ～ 8.9

警告（Middle） 4.0 ～ 6.9

注意（Low） 0.1 ～ 3.9

なし 0

Copyright (C) Cybozu,Inc.

◇ CVSS スコア

5.7(CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N)

警告（Middle）

サイボウズの情報公開

Copyright (C) Cybozu,Inc. 25

脆弱性情報の公開

サイボウズからのお知らせ

• サイボウズから発信するセキュリティ情報全般を掲載• https://cs.cybozu.co.jp/security/

不具合情報公開サイト

• 脆弱性を含むサイボウズ製品の不具合情報を掲載• https://support.cybozu.com/ja-jp/

脆弱性を改修したことを自社サイトにて公開

Copyright (C) Cybozu,Inc. 26

脆弱性情報の公開例

Copyright (C) Cybozu,Inc. 27

項目名 内容

脆弱性タイプ ソフトウェアにおけるセキュリティ上の弱点（脆弱性）の種類を識別するための共通の基準である「CWE」に基づいた脆弱性の分類を掲載いたします。

CWE

https://www.ipa.go.jp/security/v

uln/CWE.html

脆弱性の基本評価 CVSS v3 の各評価項目について掲載いたします。

CVSS 基本値 CVSS v3 の評価結果を記載いたします。

補足 脆弱性情報に関する補足情報を記載いたします。

引用元 https://support.cybozu.com/ja-jp/article/9480

サイボウズ製品の評価例

Copyright (C) Cybozu,Inc. 28

脆弱性の評価比較 - DoS

• CVE-2015-8489 サイボウズ Office における DoS

29

評価項目 v3 V2 備考

基本値 6.5 6.8

攻撃元区分（AV） ネットワーク ネットワーク

攻撃条件の複雑さ（AC） 低 低

攻撃前認証要否（Au） 単一

必要な特権レベル（PR） 低 Office にログインする必要がある

ユーザ関与レベル（UI） 不要

影響の想定範囲（S） 変更なし Office の管理権限の範囲を超えない

機密性への影響（C） なし なし

完全性への影響（I） なし なし

可用性への影響（A） 高 全面的 Office が利用不可となる

Copyright (C) Cybozu,Inc.

脆弱性の評価比較 – 情報漏えい

• CVE-2015-8488 Office における情報漏えいの脆弱性

30

評価項目 v3 V2 備考

基本値 4.3 5.0

攻撃元区分（AV） ネットワーク ネットワーク

攻撃条件の複雑さ（AC） 低 低

攻撃前認証要否（Au） 不要

必要な特権レベル（PR） 不要 Office にログインする必要が無い

ユーザ関与レベル（UI） 要

影響の想定範囲（S） 変更なし Office の管理権限の範囲を超えない

機密性への影響（C） 低 部分的 重要度の低い一部の情報が漏えい

完全性への影響（I） なし なし

可用性への影響（A） なし なし

Copyright (C) Cybozu,Inc.

脆弱性の評価比較 – XSS

• CVE-2015-7795 Office における XSS の脆弱性

31

評価項目 v3 V2 備考

基本値 6.1 4.3

攻撃元区分（AV） ネットワーク ネットワーク

攻撃条件の複雑さ（AC） 低 中

攻撃前認証要否（Au） 不要

必要な特権レベル（PR） 不要 Office にログインする必要が無い

ユーザ関与レベル（UI） 要

影響の想定範囲（S） 変更あり クライアント端末で影響

機密性への影響（C） 低 なし

完全性への影響（I） 低 部分的

可用性への影響（A） なし なし

Copyright (C) Cybozu,Inc.

脆弱性の評価比較 – CSRF

• CVE-2016-1151 Office における CSRF

32

評価項目 v3 V2 備考

基本値 4.3 2.6

攻撃元区分（AV） ネットワーク ネットワーク

攻撃条件の複雑さ（AC） 低 高 攻撃者に依存する条件は無い

攻撃前認証要否（Au） 不要

必要な特権レベル（PR） 不要 Office にログインする必要が無い

ユーザ関与レベル（UI） 要

影響の想定範囲（S） 変更なし Office の管理権限の範囲を超えない

機密性への影響（C） なし なし

完全性への影響（I） 低 部分的 影響は重要度の低い一部の情報に限定

可用性への影響（A） なし なし

Copyright (C) Cybozu,Inc.

参考資料

• CVSS v3 概説• https://www.ipa.go.jp/security/vuln/CVSSv3.html

• Common Vulnerability Scoring System v3.0: User Guide• https://www.first.org/cvss/user-guide

Copyright (C) Cybozu,Inc. 33